[Debian] Problème d'identification Segfault

Problème d'identification Segfault [Debian] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 21-05-2006 à 01:42:20    

Bonsoir à tous, désolè de vous déranger :s
 
J'ai un gros problème sur mon serveur. J'ai une debian sarge. Je me connecte dessus que via ssh. Depuis 10 minutes, voici ce que cela me fait !
 
1:34 kartnico@serveur ~% su root
Password:
zsh: segmentation fault  su root
1:34 kartnico@serveur ~%
 
 
J'arrive à me logguer avec kartnico et puis c'est tout .  A noter que sur mon serveur, je n'arrive même pas à me loguer avec le user kartnico. Il ne me retourne aucune erreur :s
 
Merci pour vos réponses qui ne pourront que m'aider :s
 
Kartnico


Message édité par kartnico le 21-05-2006 à 15:31:58
Reply

Marsh Posté le 21-05-2006 à 01:42:20   

Reply

Marsh Posté le 21-05-2006 à 02:50:18    

Euh il le fait que quand tu essayes de te connecter via SSH ?


---------------
https://openvoiceos.org | https://github.com/orgs/smartgic/
Reply

Marsh Posté le 21-05-2006 à 12:20:04    

Bonjour,
 
Depuis quand tu as ca ?  
 
Quand tu dis que tu peux te connecter avec kartnico, c'est avec su ou ssh que tu essaie ?
 
Edit: Peut-etre qu'il y a qqch d'anormal dans le /etc/passwd . Envoie le si tu veux.


Message édité par Photonium le 21-05-2006 à 12:21:24

---------------
A savoir : la dimension de Hausdorff du chou-fleur a été calculée et vaut 2.33
Reply

Marsh Posté le 21-05-2006 à 12:22:24    

va voir sur /var/log/auth.log

Reply

Marsh Posté le 21-05-2006 à 14:44:33    

Dchost99 :
 
Pour les logs, kartnico n'y a pas accès. Mais lors de ma dernière connection, j'ai vu un truc du genre :  no_magic_root  oO
 
Photonium :
 
D'un pc de bureau sous XP, je me log en ssh sur le serveur :
1-je me logue avec un user : kartnico
2-Je peux naviguer dans l'arborescence unix
3-j'essaye de me loguer en root : avec su
4-il m'envoie cette erreur :  
 
1:34 kartnico@serveur ~% su root
Password:
zsh: segmentation fault  su root
1:34 kartnico@serveur ~%  
 
 
Quand je me logue directement sur le serveur :  
1-Avec n'importe quel user, il me met : Debian GNU/linux 3.1 serveur TTYx
2-Il me redemande un login :s
 
A noter que lors de mon dernier accès, je n'ai touché à aucun fichier de conf :s  --> J'ai lu simplement mes logs.
 
PS: Merci de vos participations
 
 
 
Mon passwd

Code :
  1. root:x:0:0:root:/root:/bin/zsh
  2. daemon:x:1:1:daemon:/usr/sbin:/bin/sh
  3. bin:x:2:2:bin:/bin:/bin/sh
  4. sys:x:3:3:sys:/dev:/bin/sh
  5. sync:x:4:65534:sync:/bin:/bin/sync
  6. games:x:5:60:games:/usr/games:/bin/sh
  7. man:x:6:12:man:/var/cache/man:/bin/sh
  8. lp:x:7:7:lp:/var/spool/lpd:/bin/sh
  9. mail:x:8:8:mail:/var/mail:/bin/sh
  10. news:x:9:9:news:/var/spool/news:/bin/sh
  11. uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
  12. proxy:x:13:13:proxy:/bin:/bin/sh
  13. apache:x:33:33:www-data:/var/:/bin/sh
  14. backup:x:34:34:backup:/var/backups:/bin/sh
  15. list:x:38:38:Mailing List Manager:/var/list:/bin/sh
  16. irc:x:39:39:ircd:/var/run/ircd:/bin/sh
  17. gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
  18. nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
  19. Debian-exim:x:102:102::/var/spool/exim4:/bin/false
  20. sshd:x:101:65534::/var/run/sshd:/bin/false
  21. ftp:x:105:65534::/home/ftp/anonymous:/bin/false
  22. gdm:x:106:107:Gnome Display Manager:/var/lib/gdm:/bin/false
  23. bind:x:107:108::/var/cache/bind:/bin/false
  24. messagebus:x:100:104::/var/run/dbus:/bin/false
  25. identd:x:103:65534::/var/run/identd:/bin/false
  26. clamav:x:109:109::/var/lib/clamav:/bin/false
  27. ~
  28. ~
  29. ~


Message édité par kartnico le 21-05-2006 à 15:32:57
Reply

Marsh Posté le 21-05-2006 à 14:57:31    

Bonjour,
 
C'est normal qu'il y ait aucune entrée pour ton user ?
 
Est-ce que tu sais utiliser gdb ?  
 
car un `gdb su` est interessant lorsqu'il y a des problèmes de segfault .


---------------
A savoir : la dimension de Hausdorff du chou-fleur a été calculée et vaut 2.33
Reply

Marsh Posté le 21-05-2006 à 15:00:22    

J'ai retiré quelques trucs :D . Voici la ligne pour mon user :
 
kartnico:x:1009:1008:,,,: /home/ftp/.kartnico: /bin/zsh
 
Je ne connais pas gdb :s


Message édité par kartnico le 21-05-2006 à 15:01:40
Reply

Marsh Posté le 21-05-2006 à 15:07:18    

Mon passwd à l'air correct


Message édité par kartnico le 21-05-2006 à 15:09:54
Reply

Marsh Posté le 21-05-2006 à 15:15:34    

connexion kartnico ensuite  
su -p root /bin/sh  
?

Reply

Marsh Posté le 21-05-2006 à 15:17:54    

15:16 kartnico@serveur /% su -p root /bin/sh
Password
zsh: segmentation fault  su -p root /bin/sh
 
:(

Reply

Marsh Posté le 21-05-2006 à 15:17:54   

Reply

Marsh Posté le 21-05-2006 à 15:19:16    

J'avais un uptime de 60 jours, une utilisation très régulière. Et là du jour au lendemain, plus de root :D . Par contre, j'ai quand même testé un reboot malheureusement.

Reply

Marsh Posté le 21-05-2006 à 15:21:42    

su -p root/bin/zsh
..../bin/tcsh
?

Reply

Marsh Posté le 21-05-2006 à 15:21:42    

su -p root/bin/zsh
..../bin/tcsh
?

Reply

Marsh Posté le 21-05-2006 à 15:22:27    

tu a acces physiquement a la machine?
boot recovery mode ?


Message édité par dchost99 le 21-05-2006 à 15:25:39
Reply

Marsh Posté le 21-05-2006 à 15:28:53    

J'ai accès à la machine.  
 
C'est bon, je suis dans le recovery mode. Je vais consulter mes logs.


Message édité par kartnico le 21-05-2006 à 15:38:04
Reply

Marsh Posté le 21-05-2006 à 15:43:10    

D'avoir un accès root et de pouvoir trifouiller tes fichiers de conf.
 
Peut être que tu devrais nous poster certains fichiers qui se trouvent dans /etc/pam.d/
 
Mon common-auth

Code :
  1. #
  2. # /etc/pam.d/common-auth - authentication settings common to all services
  3. #
  4. # This file is included from other service-specific PAM config files,
  5. # and should contain a list of the authentication modules that define
  6. # the central authentication scheme for use on the system
  7. # (e.g., /etc/shadow, LDAP, Kerberos, etc.).  The default is to use the
  8. # traditional Unix authentication mechanisms.
  9. #
  10. auth    required        pam_unix.so nullok_secure


Mon su

Code :
  1. #
  2. # The PAM configuration file for the Shadow `su' service
  3. #
  4. # This allows root to su without passwords (normal operation)
  5. auth       sufficient pam_rootok.so
  6. # Uncomment this to force users to be a member of group root
  7. # before they can use `su'. You can also add "group=foo"
  8. # to the end of this line if you want to use a group other
  9. # than the default "root" (but this may have side effect of
  10. # denying "root" user, unless she's a member of "foo" or explicitly
  11. # permitted earlier by e.g. "sufficient pam_rootok.so" ).
  12. # (Replaces the `SU_WHEEL_ONLY' option from login.defs)
  13. # auth       required   pam_wheel.so
  14. # Uncomment this if you want wheel members to be able to
  15. # su without a password.
  16. # auth       sufficient pam_wheel.so trust
  17. # Uncomment this if you want members of a specific group to not
  18. # be allowed to use su at all.
  19. # auth       required   pam_wheel.so deny group=nosu
  20. # Uncomment and edit /etc/security/time.conf if you need to set
  21. # time restrainst on su usage.
  22. # (Replaces the `PORTTIME_CHECKS_ENAB' option from login.defs
  23. # as well as /etc/porttime)
  24. # account    requisite  pam_time.so
  25. # This module parses environment configuration file(s)
  26. # and also allows you to use an extended config
  27. # file /etc/security/pam_env.conf.
  28. #
  29. # parsing /etc/environment needs "readenv=1"
  30. session       required   pam_env.so readenv=1
  31. # Defines the MAIL environment variable
  32. # However, userdel also needs MAIL_DIR and MAIL_FILE variables
  33. # in /etc/login.defs to make sure that removing a user
  34. # also removes the user's mail spool file.
  35. # See comments in /etc/login.defs
  36. #
  37. # "nopen" stands to avoid reporting new mail when su'ing to another user
  38. session    optional   pam_mail.so nopen
  39. # Sets up user limits, please uncomment and read /etc/security/limits.conf
  40. # to enable this functionality.
  41. # (Replaces the use of /etc/limits in old login)
  42. # session    required   pam_limits.so
  43. # The standard Unix authentication modules, used with
  44. # NIS (man nsswitch) as well as normal /etc/passwd and
  45. # /etc/shadow entries.
  46. @include common-auth
  47. @include common-account
  48. @include common-session


Je sais pas si ca sera utile mais bon. :kaola:


Message édité par goldyfruit le 21-05-2006 à 15:44:21

---------------
https://openvoiceos.org | https://github.com/orgs/smartgic/
Reply

Marsh Posté le 21-05-2006 à 16:02:05    

Petites explications : Goldyfruit essayait de règler le prob avec moi par tel.
 
Il y a trois semaines, j'ai en effet modifié le fichier de conf:  /etc/pam.d/common-auth  
 
J'avais décommenté :  

Code :
  1. #auth   required        pam_tally.so onerr=fail no_magic_root


Je viens donc de le commenter
 
Idem pour  

Code :
  1. session    required   pam_limits.so


dans le fichier /etc/pam.d/su
 
Voila prob résolu.  Merci à vous, c'est super sympa pour votre aide.
 
 
 


Message édité par kartnico le 22-05-2006 à 02:30:19
Reply

Marsh Posté le 21-05-2006 à 16:11:52    

Je suis pas d'accord, ca résout pas le problème.  
 
Tu avais un segfault : c'est un problème de programmation. Si j'étais toi, je me remettrais dans le cas où t'avais un problème puis
 

Code :
  1. gdb su
  2. run
  3. bt


 
Enfin, faire un rapport de bug avec les informations de la backtrace.  
 
Un segfault ne doit pas être un problème de configuration et encore moins lorsque tu décommentes simplement des lignes du fichier par défaut.


---------------
A savoir : la dimension de Hausdorff du chou-fleur a été calculée et vaut 2.33
Reply

Marsh Posté le 21-05-2006 à 19:36:03    

En fait j'avais configuré mes pam limits. Je pense que cela a du me bloquer. Je test de suite gdb !

Reply

Marsh Posté le 21-05-2006 à 19:39:10    

Impossible ! Quand je lance un gdb su, il m'execute gdb. Je tape r  (ou run), et il me demande un password. Tout à l'heure ( quand rien ne fonctionnait), il me lançait un "authentification failed" et maintenant, il me logue correctement ^^ . Donc pas de rapport de bug :s

Reply

Marsh Posté le 21-05-2006 à 19:55:53    

kartnico a écrit :

Impossible ! Quand je lance un gdb su, il m'execute gdb. Je tape r  (ou run), et il me demande un password. Tout à l'heure ( quand rien ne fonctionnait), il me lançait un "authentification failed" et maintenant, il me logue correctement ^^ . Donc pas de rapport de bug :s


 
Tu es vraiment dans le même cas de figure ?


---------------
A savoir : la dimension de Hausdorff du chou-fleur a été calculée et vaut 2.33
Reply

Marsh Posté le 21-05-2006 à 21:06:24    

Nan, je ne suis plus dans le même cas de figure :D . Car il me faudrait rebooté le serveur et modifier les fichiers de conf. C'est en quelque sorte un serveur de prod, ce qui me limite au niveau des actions de ce type :'(

Message cité 1 fois
Message édité par kartnico le 21-05-2006 à 21:06:52
Reply

Marsh Posté le 21-05-2006 à 21:26:15    

kartnico a écrit :

Nan, je ne suis plus dans le même cas de figure :D . Car il me faudrait rebooté le serveur et modifier les fichiers de conf. C'est en quelque sorte un serveur de prod, ce qui me limite au niveau des actions de ce type :'(


 
Justement le but était de revenir en arrière pour vraiment comprendre le problème... C'est con de laisser un bug comme çà.
 
Edit: et puis tu peux t'arranger pour éviter de rebooter s'il le faut.

Message cité 1 fois
Message édité par Photonium le 21-05-2006 à 21:27:57

---------------
A savoir : la dimension de Hausdorff du chou-fleur a été calculée et vaut 2.33
Reply

Marsh Posté le 21-05-2006 à 21:31:23    

Photonium a écrit :

Justement le but était de revenir en arrière pour vraiment comprendre le problème... C'est con de laisser un bug comme çà.
 
Edit: et puis tu peux t'arranger pour éviter de rebooter s'il le faut.


 
Je suis vraiment d'accord avec toi. Mais en fait le problème est tombé en plein mauvais moment. Partiels, développement de site web etc...  
 
Comment ne pas rebooter ?

Message cité 1 fois
Message édité par kartnico le 21-05-2006 à 21:31:35
Reply

Marsh Posté le 21-05-2006 à 22:00:59    

kartnico a écrit :

Je suis vraiment d'accord avec toi. Mais en fait le problème est tombé en plein mauvais moment. Partiels, développement de site web etc...  
 
Comment ne pas rebooter ?


 
Ben en se démerdant pour pouvoir modifier les fichiers de conf avec l'utilisateur logué. Donc à coup de chown/chgrp/chmod.  
 
Je sais, c'est grade mais c'est une facon.


---------------
A savoir : la dimension de Hausdorff du chou-fleur a été calculée et vaut 2.33
Reply

Marsh Posté le 22-05-2006 à 02:37:48    

Voila le tuto que j'avais suivi :
 
http://mysecureshell.sourceforge.net/fr/securessh.html
 
 
Par contre cela ne peut pas venir du module ? Dès que je décommente cette ligne  
 

Code :
  1. #auth   required        pam_tally.so onerr=fail no_magic_root


 
Impossible de se loguer en root

Message cité 1 fois
Message édité par kartnico le 22-05-2006 à 02:38:02
Reply

Marsh Posté le 22-05-2006 à 11:09:00    

kartnico a écrit :


Par contre cela ne peut pas venir du module ? Dès que je décommente cette ligne  


 
Ca peut. Mais je suis pas madame Soleil. Sans autres informations, je ne peux rien dire. Maintenant, il y a de très grand chance que ce soit le module.
 
Si c'est le module, j'ai bien peur que ce soit difficile à débugguer. Je suis en plein dans un module PAM et quand ça plante, c'est l'enfer pour voir d'où ça vient.


---------------
A savoir : la dimension de Hausdorff du chou-fleur a été calculée et vaut 2.33
Reply

Marsh Posté le 22-05-2006 à 11:33:25    

Mon erreur vient du module "pam_rootok.so"
 
Je ne sais absolument pas comment le mettre à jour :s
 
Je fais quelque recherche.

Reply

Marsh Posté le 22-05-2006 à 11:41:01    

kartnico a écrit :

Mon erreur vient du module "pam_rootok.so"
 
Je ne sais absolument pas comment le mettre à jour :s
 
Je fais quelque recherche.


 

Citation :

$ dpkg -S pam_rootok
libpam-modules: /lib/security/pam_rootok.so


 
Edit: Lorgne du coté des bugs de libpam-modules. Je pense qu'il y a ton bonheur...


Message édité par Photonium le 22-05-2006 à 11:55:56

---------------
A savoir : la dimension de Hausdorff du chou-fleur a été calculée et vaut 2.33
Reply

Marsh Posté le 22-05-2006 à 11:41:52    

kartnico a écrit :

Mon erreur vient du module "pam_rootok.so"
 
Je ne sais absolument pas comment le mettre à jour :s
 
Je fais quelque recherche.


 
Ce fichier est fournit dans le paquet libpam-modules (dans Debian), regardes si tu peux le mettre à jour.

Reply

Marsh Posté le 22-05-2006 à 19:24:24    

Bon j'ai mis à jour mon libpam-modules, j'ai mis une version unstable.
 
Tout fonctionne correctement.
 
Merci pour tout.

Reply

Marsh Posté le 23-05-2006 à 04:31:29    

C'est quand même un peu bizarre ton histoire...
 
Le module pam_rootok.so de Sarge serait donc défecteux ?  Je serais d'accord si tu utilisais testing/unstable, mais -sauf erreur de ta part- ce n'est pas le cas. La version de libpam-modules de Sarge (la 0.76-22) n'est pas concernée par le type de bug que tu as rencontré ; seules certaines versions 0.79 et supérieures ont pu créer des problèmes pendant un temps auprès d'utilisateurs de unstable.
 
Ensuite tu indiques avoir solutionné le problème en mettant une version unstable, mais franchement ton approche de la résolution de ce problème est pour le moins curieuse : remplacer une version stable par une version unstable qui plus est sur un serveur en production apparemment  [:gaxx] . Tu as simplement bricolé et contourné ce bug plutôt que recherché sa cause précise, par conséquent tu n'as pas entièrement réglé la question.
 
Tu n'as pas pensé à un moment que ton serveur a pu éventuellement être la cible d'un pirate ? Si ton serveur a fait l'objet d'une attaque et qu'il a été compromis, cela signifie que des binaires ont très certainement été remplacées/modifiées et qu'un rootkit est sans doute présent en vue de te dérober des infos confidentielles, des données sensibles.
Perso avec un binaire qui me sortirait des segmentation fault sans raison du jour au lendemain alors que rien na été modifié sur la bécane, à ta place je m'inquièterais un minimum, car c'est peut-être synonyme de matos défecteux (barrette mémoire défectueuse éventuellement) ou alors de corruption possible du système. :o


---------------
THRAK (def.) : 1) A sudden and precise impact moving from intention, direction and commitment, in service of an aim. 2) 117 guitars almost striking the same chord simultaneously.
Reply

Marsh Posté le 25-05-2006 à 12:15:13    

En fait je n'ai pas de rootkit. Mon problème à la base n'était pas un due au module pam_rootok.so, mais certainement à une mauvaise configuration de pam. J'avais essayé de sécuriser mes accès SSH. Mais cela remontait à au moins une semaine avant que mon problème ne survienne. Donc, il est vrai,   que j'avais pensé à une attaque.
Après avoir résolu le problème, j'apercevais une erreur dans mes logs, venant du pam_rootok.so. Cela m'empéchait d'utiliser "su" pour me logguer avec root sur les autres comptes utilisateurs.
Enfin, c'est vrai que j'ai contourné le problème, mais j'ai tellement de choses à faire à côté, que je ne m'y suis pas attardé.
 
PS: Mon serveur n'est pas vraiment un serveur de prod, c'est un serveur at home. Mes propos venaient du fait qu'il est beaucoup utilisé sur mon réseau et qu'il héberge quelques sites webs.
 
En tout cas, je vous remercie infiniment de vos participations.


Message édité par kartnico le 25-05-2006 à 12:16:05
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed