Problème d'identification Segfault [Debian] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 21-05-2006 à 02:50:18
Euh il le fait que quand tu essayes de te connecter via SSH ?
Marsh Posté le 21-05-2006 à 12:20:04
Bonjour,
Depuis quand tu as ca ?
Quand tu dis que tu peux te connecter avec kartnico, c'est avec su ou ssh que tu essaie ?
Edit: Peut-etre qu'il y a qqch d'anormal dans le /etc/passwd . Envoie le si tu veux.
Marsh Posté le 21-05-2006 à 14:44:33
Dchost99 :
Pour les logs, kartnico n'y a pas accès. Mais lors de ma dernière connection, j'ai vu un truc du genre : no_magic_root oO
Photonium :
D'un pc de bureau sous XP, je me log en ssh sur le serveur :
1-je me logue avec un user : kartnico
2-Je peux naviguer dans l'arborescence unix
3-j'essaye de me loguer en root : avec su
4-il m'envoie cette erreur :
1:34 kartnico@serveur ~% su root
Password:
zsh: segmentation fault su root
1:34 kartnico@serveur ~%
Quand je me logue directement sur le serveur :
1-Avec n'importe quel user, il me met : Debian GNU/linux 3.1 serveur TTYx
2-Il me redemande un login :s
A noter que lors de mon dernier accès, je n'ai touché à aucun fichier de conf :s --> J'ai lu simplement mes logs.
PS: Merci de vos participations
Mon passwd
Code :
|
Marsh Posté le 21-05-2006 à 14:57:31
Bonjour,
C'est normal qu'il y ait aucune entrée pour ton user ?
Est-ce que tu sais utiliser gdb ?
car un `gdb su` est interessant lorsqu'il y a des problèmes de segfault .
Marsh Posté le 21-05-2006 à 15:00:22
J'ai retiré quelques trucs . Voici la ligne pour mon user :
kartnico:x:1009:1008:,,,: /home/ftp/.kartnico: /bin/zsh
Je ne connais pas gdb :s
Marsh Posté le 21-05-2006 à 15:07:18
Mon passwd à l'air correct
Marsh Posté le 21-05-2006 à 15:17:54
15:16 kartnico@serveur /% su -p root /bin/sh
Password
zsh: segmentation fault su -p root /bin/sh
Marsh Posté le 21-05-2006 à 15:19:16
J'avais un uptime de 60 jours, une utilisation très régulière. Et là du jour au lendemain, plus de root . Par contre, j'ai quand même testé un reboot malheureusement.
Marsh Posté le 21-05-2006 à 15:22:27
tu a acces physiquement a la machine?
boot recovery mode ?
Marsh Posté le 21-05-2006 à 15:28:53
J'ai accès à la machine.
C'est bon, je suis dans le recovery mode. Je vais consulter mes logs.
Marsh Posté le 21-05-2006 à 15:43:10
D'avoir un accès root et de pouvoir trifouiller tes fichiers de conf.
Peut être que tu devrais nous poster certains fichiers qui se trouvent dans /etc/pam.d/
Mon common-auth
Code :
|
Mon su
Code :
|
Je sais pas si ca sera utile mais bon.
Marsh Posté le 21-05-2006 à 16:02:05
Petites explications : Goldyfruit essayait de règler le prob avec moi par tel.
Il y a trois semaines, j'ai en effet modifié le fichier de conf: /etc/pam.d/common-auth
J'avais décommenté :
Code :
|
Je viens donc de le commenter
Idem pour
Code :
|
dans le fichier /etc/pam.d/su
Voila prob résolu. Merci à vous, c'est super sympa pour votre aide.
Marsh Posté le 21-05-2006 à 16:11:52
Je suis pas d'accord, ca résout pas le problème.
Tu avais un segfault : c'est un problème de programmation. Si j'étais toi, je me remettrais dans le cas où t'avais un problème puis
Code :
|
Enfin, faire un rapport de bug avec les informations de la backtrace.
Un segfault ne doit pas être un problème de configuration et encore moins lorsque tu décommentes simplement des lignes du fichier par défaut.
Marsh Posté le 21-05-2006 à 19:36:03
En fait j'avais configuré mes pam limits. Je pense que cela a du me bloquer. Je test de suite gdb !
Marsh Posté le 21-05-2006 à 19:39:10
Impossible ! Quand je lance un gdb su, il m'execute gdb. Je tape r (ou run), et il me demande un password. Tout à l'heure ( quand rien ne fonctionnait), il me lançait un "authentification failed" et maintenant, il me logue correctement ^^ . Donc pas de rapport de bug :s
Marsh Posté le 21-05-2006 à 19:55:53
kartnico a écrit : Impossible ! Quand je lance un gdb su, il m'execute gdb. Je tape r (ou run), et il me demande un password. Tout à l'heure ( quand rien ne fonctionnait), il me lançait un "authentification failed" et maintenant, il me logue correctement ^^ . Donc pas de rapport de bug :s |
Tu es vraiment dans le même cas de figure ?
Marsh Posté le 21-05-2006 à 21:06:24
Nan, je ne suis plus dans le même cas de figure . Car il me faudrait rebooté le serveur et modifier les fichiers de conf. C'est en quelque sorte un serveur de prod, ce qui me limite au niveau des actions de ce type
Marsh Posté le 21-05-2006 à 21:26:15
kartnico a écrit : Nan, je ne suis plus dans le même cas de figure . Car il me faudrait rebooté le serveur et modifier les fichiers de conf. C'est en quelque sorte un serveur de prod, ce qui me limite au niveau des actions de ce type |
Justement le but était de revenir en arrière pour vraiment comprendre le problème... C'est con de laisser un bug comme çà.
Edit: et puis tu peux t'arranger pour éviter de rebooter s'il le faut.
Marsh Posté le 21-05-2006 à 21:31:23
Photonium a écrit : Justement le but était de revenir en arrière pour vraiment comprendre le problème... C'est con de laisser un bug comme çà. |
Je suis vraiment d'accord avec toi. Mais en fait le problème est tombé en plein mauvais moment. Partiels, développement de site web etc...
Comment ne pas rebooter ?
Marsh Posté le 21-05-2006 à 22:00:59
kartnico a écrit : Je suis vraiment d'accord avec toi. Mais en fait le problème est tombé en plein mauvais moment. Partiels, développement de site web etc... |
Ben en se démerdant pour pouvoir modifier les fichiers de conf avec l'utilisateur logué. Donc à coup de chown/chgrp/chmod.
Je sais, c'est grade mais c'est une facon.
Marsh Posté le 22-05-2006 à 02:37:48
Voila le tuto que j'avais suivi :
http://mysecureshell.sourceforge.net/fr/securessh.html
Par contre cela ne peut pas venir du module ? Dès que je décommente cette ligne
Code :
|
Impossible de se loguer en root
Marsh Posté le 22-05-2006 à 11:09:00
kartnico a écrit : |
Ca peut. Mais je suis pas madame Soleil. Sans autres informations, je ne peux rien dire. Maintenant, il y a de très grand chance que ce soit le module.
Si c'est le module, j'ai bien peur que ce soit difficile à débugguer. Je suis en plein dans un module PAM et quand ça plante, c'est l'enfer pour voir d'où ça vient.
Marsh Posté le 22-05-2006 à 11:33:25
Mon erreur vient du module "pam_rootok.so"
Je ne sais absolument pas comment le mettre à jour :s
Je fais quelque recherche.
Marsh Posté le 22-05-2006 à 11:41:01
kartnico a écrit : Mon erreur vient du module "pam_rootok.so" |
Citation : $ dpkg -S pam_rootok |
Edit: Lorgne du coté des bugs de libpam-modules. Je pense qu'il y a ton bonheur...
Marsh Posté le 22-05-2006 à 11:41:52
kartnico a écrit : Mon erreur vient du module "pam_rootok.so" |
Ce fichier est fournit dans le paquet libpam-modules (dans Debian), regardes si tu peux le mettre à jour.
Marsh Posté le 22-05-2006 à 19:24:24
Bon j'ai mis à jour mon libpam-modules, j'ai mis une version unstable.
Tout fonctionne correctement.
Merci pour tout.
Marsh Posté le 23-05-2006 à 04:31:29
C'est quand même un peu bizarre ton histoire...
Le module pam_rootok.so de Sarge serait donc défecteux ? Je serais d'accord si tu utilisais testing/unstable, mais -sauf erreur de ta part- ce n'est pas le cas. La version de libpam-modules de Sarge (la 0.76-22) n'est pas concernée par le type de bug que tu as rencontré ; seules certaines versions 0.79 et supérieures ont pu créer des problèmes pendant un temps auprès d'utilisateurs de unstable.
Ensuite tu indiques avoir solutionné le problème en mettant une version unstable, mais franchement ton approche de la résolution de ce problème est pour le moins curieuse : remplacer une version stable par une version unstable qui plus est sur un serveur en production apparemment . Tu as simplement bricolé et contourné ce bug plutôt que recherché sa cause précise, par conséquent tu n'as pas entièrement réglé la question.
Tu n'as pas pensé à un moment que ton serveur a pu éventuellement être la cible d'un pirate ? Si ton serveur a fait l'objet d'une attaque et qu'il a été compromis, cela signifie que des binaires ont très certainement été remplacées/modifiées et qu'un rootkit est sans doute présent en vue de te dérober des infos confidentielles, des données sensibles.
Perso avec un binaire qui me sortirait des segmentation fault sans raison du jour au lendemain alors que rien na été modifié sur la bécane, à ta place je m'inquièterais un minimum, car c'est peut-être synonyme de matos défecteux (barrette mémoire défectueuse éventuellement) ou alors de corruption possible du système.
Marsh Posté le 25-05-2006 à 12:15:13
En fait je n'ai pas de rootkit. Mon problème à la base n'était pas un due au module pam_rootok.so, mais certainement à une mauvaise configuration de pam. J'avais essayé de sécuriser mes accès SSH. Mais cela remontait à au moins une semaine avant que mon problème ne survienne. Donc, il est vrai, que j'avais pensé à une attaque.
Après avoir résolu le problème, j'apercevais une erreur dans mes logs, venant du pam_rootok.so. Cela m'empéchait d'utiliser "su" pour me logguer avec root sur les autres comptes utilisateurs.
Enfin, c'est vrai que j'ai contourné le problème, mais j'ai tellement de choses à faire à côté, que je ne m'y suis pas attardé.
PS: Mon serveur n'est pas vraiment un serveur de prod, c'est un serveur at home. Mes propos venaient du fait qu'il est beaucoup utilisé sur mon réseau et qu'il héberge quelques sites webs.
En tout cas, je vous remercie infiniment de vos participations.
Marsh Posté le 21-05-2006 à 01:42:20
Bonsoir à tous, désolè de vous déranger :s
J'ai un gros problème sur mon serveur. J'ai une debian sarge. Je me connecte dessus que via ssh. Depuis 10 minutes, voici ce que cela me fait !
1:34 kartnico@serveur ~% su root
Password:
zsh: segmentation fault su root
1:34 kartnico@serveur ~%
J'arrive à me logguer avec kartnico et puis c'est tout . A noter que sur mon serveur, je n'arrive même pas à me loguer avec le user kartnico. Il ne me retourne aucune erreur :s
Merci pour vos réponses qui ne pourront que m'aider :s
Kartnico
Message édité par kartnico le 21-05-2006 à 15:31:58