Debian: shadow file ...hilfe!

[snapy]

Guten Morgen,

nach einem Update von Plesk kann das gesamte System nicht mehr auf die shadow file zugreifen, bzw. in diese schreiben. Bei allen Versuchen (anlegen neuer User, Passwort ändern etc.) kommt immer die Fehlermeldung: "can't open shadow file"

Premissions: 640 (lässt sich auch nicht ändern)

Wir haben keine Idee mehr woran es liegen könnte, bitte um Hilfe!


Schöne Grüße
snapy

[Roger Wilco]

Poste die Ausgaben von:

Code: Select all

ls -ld /etc
ls -l /etc/shadow
useradd testuser

Und schau, ob `getent shadow` die richtige Ausgabe liefert. Die solltest du hier nicht posten.[/code]

[snapy]

Hallo Roger,

Danke für deine Antwort!

ls -ld /etc

Code: Select all

drwxr-xr-x  77 root root 4096 2006-11-08 09:24 /etc

ls -l /etc/shadow

Code: Select all

-rw-r-----  1 root shadow 1432 2006-09-26 18:34 /etc/shadow

useradd testuser

Code: Select all

useradd: cannot open shadow password file

Die eigentliche Datei ist richtig.

[Roger Wilco]

Nur noch mal sicherheitshalber gefragt: Du führst useradd schon als Benutzer root aus, oder?

[snapy]

ja, der Fehler liegt sicherlich nicht zwischen den Ohren.

[lines]

was sagt `lsattr /etc/shadow` ?

.lines

[sledge0303]

was sagt `lsattr /etc/shadow` ?

.lines

meinst sein /etc/shadow ist per immutable bit "gesichert"...
Wenn er angeblich die Permission nicht ändern kann wäre es nicht auszuschließen.

[snapy]

@lines

• -bash: lsattr: command not found

Auch 'chattr' funkt nicht, obwohl das entsprechnede Package: e2fsprogs installiert ist. ??

@sledge0303
Die Rechte der Datei lassen sich wirklich nicht ändern. Nicht mal das Passwort(auch als root) lässt sich ändern. Das "immutable bit" könnte aber ein guter Ansatz sein. Wie bekommt man das Attribut angezeigt, bzw . geändert, außer mit 'lsattr' bzw. 'chattr' ???

[captaincrunch]

Wenn auf einem meiner Systeme plötzlich lsattr und chattr fehlen, würde mir das doch extrem zu denken geben.

[juergen]

Wenn auf einem meiner Systeme plötzlich lsattr und chattr fehlen, würde mir das doch extrem zu denken geben.

Hmm lsattr/chattr ist ext2-specifisch. Wer weiß, was er für eine Filesystem hat...

[Joe User]

AFAIR nutzt Debian per Default lilo und ebenfalls AFAIR benötigt lilo /boot auf ext[23], was wiederum impliziert, dass die e2fsprogs installiert sein müssen...

PS: Man möge mich bezüglich meiner AFAIRs korrigieren ;)

[Roger Wilco]

Hmm lsattr/chattr ist ext2-specifisch.

lsattr|chattr sind zwar in den e2fsprogs enthalten, funktionieren aber für alle Dateisysteme, die erweiterte Attribute unterstützen, also auch XFS, ReiserFS und JFS.

[juergen]

AFAIR nutzt Debian per Default lilo und ebenfalls AFAIR benötigt lilo /boot auf ext[23], was wiederum impliziert, dass die e2fsprogs installiert sein müssen...

PS: Man möge mich bezüglich meiner AFAIRs korrigieren ;)

Lilo kennt im Gegensatz zu grub keine Filesysteme... Deshalb wird mittels spezieller ioctls ein map-file mit der Position der Fileblöcke des Kernels/intfs auf dem Datenträger generiert.

Aber man drifted vom ursprünglichen Thema ab :-D

[Joe User]

Dann dürfte es mit lilo problemlos möglich sein jegliche OSs sowohl von HDD als auch von ISO-Images zu booten ;) Wofür stand das "li" noch? Und wo wird das map-file abgelegt?

Ich muss mich wohl mal intensiver mit lilo befassen...

[snapy]

Das System läuft auf ext3, lsattr/chattr müsste also funktionieren.
Neuinstallation von e2fsprogs bringt auch nichts.
Hat jemand noch eine konstruktive Idee? Neuinstallation würde hoche Kosten verursachen, so das wir das möglichst vermeiden wollen.

Einen Angriff bzw. Manipulation von Außen können wir fast Ausschließen, das Problem ist umgehend nach einem Plesk(usw)-Update aufgetreten. Fehler ist dann nach einem Reboot aufgetreten.

[juergen]

Hast du eine SELinux-System? Dann überprüfe mal die Permissions mit

Code: Select all

ls -Z /etc/shadow

Die shadow tools sind bzgl. errno nicht sehr gesprächig. Probiere mal

Code: Select all

strace useradd testuser

und poste das Ergebnis hier.

Viel Erfolg

[snapy]

Hallo Jürgen,

strace sagt eigentlich auch nicht mehr als das der Zugriff auf die Shadow verweigert wird.
'strace' wurde natürlich als root ausgeführt, bevor jetzt jemand fragt wegen Permission denied. Werden den Server jetzt aber doch wohl neu aufsetzen...

Code: Select all

execve("/usr/sbin/useradd", ["useradd", "testuser168xxxxx"], [/* 19 vars */]) = 0
uname({sys="Linux", node="xxxxxxstems.de", ...}) = 0
brk(0)                                  = 0x80xxxxx
old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x40017000
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/etc/ld.so.preload", O_RDONLY)    = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY)      = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=19540, ...}) = 0
old_mmap(NULL, 19540, PROT_READ, MAP_PRIVATE, 3, 0) = 0x4001xxxx
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/tls/libcrypt.so.1", O_RDONLY) = 3
read(3, "177ELF111\0\0\0\0\0\0\0\0\03\03\01\0\0\0360t\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=18876, ...}) = 0
old_mmap(NULL, 181692, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0) = 0x4001d000
old_mmap(0x4002xxxx, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x4000) = 0x40022000
old_mmap(0x4002xxxx, 157116, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x400xxxx
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/libpam.so.0", O_RDONLY)      = 3
read(3, "177ELF111\0\0\0\0\0\0\0\0\03\03\01\0\0\0`25\0\000"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=30360, ...}) = 0
old_mmap(NULL, 29324, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0) = 0x4004a000
old_mmap(0x4005xxxx, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x7000) = 0x400xxxxx
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/libpam_misc.so.0", O_RDONLY) = 3
read(3, "177ELF111\0\0\0\0\0\0\0\0\03\03\01\0\0\026016"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=8800, ...}) = 0
old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x400xxxxx
old_mmap(NULL, 11880, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0) = 0x40053000
old_mmap(0x4005xxxx, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x1000) = 0x4005xxxx
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/tls/libc.so.6", O_RDONLY)    = 3
read(3, "177ELF111\0\0\0\0\0\0\0\0\03\03\01\0\0\0`Z1\000"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0755, st_size=1254660, ...}) = 0
old_mmap(NULL, 1264972, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0) = 0x40056000
old_mmap(0x40180000, 36864, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x12xxxx) = 0x401xxxx
old_mmap(0x40189000, 7500, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x4018xxxx
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/tls/libdl.so.2", O_RDONLY)   = 3
read(3, "177ELF111\0\0\0\0\0\0\0\0\03\03\01\0\0\032032"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=9872, ...}) = 0
old_mmap(NULL, 8632, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0) = 0x4018b000
old_mmap(0x4018xxxx, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x2000) = 0x4018xxxx
close(3)                                = 0
old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x4018e000
set_thread_area({entry_number:-1 -> 6, base_addr:0x401xxxx, limit:1048575, seg_32bit:1, contents:0, read_exec_only:0, limit_in_pages:1, seg_not_present:0, useable:1}) = 0
munmap(0x400xxxxx, 19540)               = 0
brk(0)                                  = 0x806xxxx
brk(0x808xxxx)                          = 0x808xxxx
brk(0)                                  = 0x808xxxx
open("/usr/lib/locale/locale-archive", O_RDONLY|O_LARGEFILE) = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=290576, ...}) = 0
mmap2(NULL, 290576, PROT_READ, MAP_PRIVATE, 3, 0) = 0x401xxxx
close(3)                                = 0
access("/etc/shadow", F_OK)             = 0
access("/etc/gshadow", F_OK)            = 0
open("/etc/default/useradd", O_RDONLY)  = -1 ENOENT (No such file or directory)
socket(PF_FILE, SOCK_STREAM, 0)         = 3
connect(3, {sa_family=AF_FILE, path="/var/run/.nscd_socket"}, 110) = -1 ENOENT (No such file or directory)
close(3)                                = 0
open("/etc/nsswitch.conf", O_RDONLY)    = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=465, ...}) = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x401xxxx
read(3, "# /etc/nsswitch.confn#n# Example"..., 4096) = 465
read(3, "", 4096)                       = 0
close(3)                                = 0
munmap(0x401xxxx, 4096)                = 0
open("/etc/ld.so.cache", O_RDONLY)      = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=19540, ...}) = 0
old_mmap(NULL, 19540, PROT_READ, MAP_PRIVATE, 3, 0) = 0x401xxxx
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/tls/libnss_compat.so.2", O_RDONLY) = 3
read(3, "177ELF111\0\0\0\0\0\0\0\0\03\03\01\0\0\000022\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=28616, ...}) = 0
old_mmap(NULL, 31628, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0) = 0x401db000
old_mmap(0x401xxxx, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x6000) = 0x401e2000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/tls/libnsl.so.1", O_RDONLY)  = 3
read(3, "177ELF111\0\0\0\0\0\0\0\0\03\03\01\0\0\0 <\0\000"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=73304, ...}) = 0
old_mmap(NULL, 80544, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0) = 0x401e3000
old_mmap(0x401f4xxxx, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x1xxxx) = 0x401xxxx
old_mmap(0x401f5000, 6816, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x401fxxxx
close(3)                                = 0
munmap(0x401dxxxx, 19540)               = 0
open("/etc/ld.so.cache", O_RDONLY)      = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=19540, ...}) = 0
old_mmap(NULL, 19540, PROT_READ, MAP_PRIVATE, 3, 0) = 0x401dxxxx
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/tls/libnss_nis.so.2", O_RDONLY) = 3
read(3, "177ELF111\0\0\0\0\0\0\0\0\03\03\01\0\0\02034\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=33440, ...}) = 0
old_mmap(NULL, 36620, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0) = 0x401f7000
old_mmap(0x401fxxxx, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x7000) = 0x401xxxx
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/tls/libnss_files.so.2", O_RDONLY) = 3
read(3, "177ELF111\0\0\0\0\0\0\0\0\03\03\01\0\0\020035"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=34748, ...}) = 0
old_mmap(NULL, 38044, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0) = 0x40200000
old_mmap(0x4020xxxx, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x8000) = 0x4020xxxx
close(3)                                = 0
munmap(0x401xxxx, 19540)               = 0
open("/etc/passwd", O_RDONLY)           = 3
fcntl64(3, F_GETFD)                     = 0
fcntl64(3, F_SETFD, FD_CLOEXEC)         = 0
_llseek(3, 0, [0], SEEK_CUR)            = 0
fstat64(3, {st_mode=S_IFREG|0644, st_size=2068, ...}) = 0
mmap2(NULL, 2068, PROT_READ, MAP_SHARED, 3, 0) = 0x401dxxxx
_llseek(3, 2068, [2068], SEEK_SET)      = 0
fstat64(3, {st_mode=S_IFREG|0644, st_size=2068, ...}) = 0
munmap(0x401dxxxx, 2068)                = 0
close(3)                                = 0
socket(PF_FILE, SOCK_STREAM, 0)         = 3
connect(3, {sa_family=AF_FILE, path="/var/run/.nscd_socket"}, 110) = -1 ENOENT (No such file or directory)
close(3)                                = 0
open("/etc/group", O_RDONLY)            = 3
fcntl64(3, F_GETFD)                     = 0
fcntl64(3, F_SETFD, FD_CLOEXEC)         = 0
_llseek(3, 0, [0], SEEK_CUR)            = 0
fstat64(3, {st_mode=S_IFREG|0644, st_size=703, ...}) = 0
mmap2(NULL, 703, PROT_READ, MAP_SHARED, 3, 0) = 0x401dxxxx
_llseek(3, 703, [703], SEEK_SET)        = 0
fstat64(3, {st_mode=S_IFREG|0644, st_size=703, ...}) = 0
munmap(0x401d6000, 703)                 = 0
close(3)                                = 0
open("/etc/.pwd.lock", O_WRONLY|O_CREAT, 0600) = 3
fcntl64(3, F_GETFD)                     = 0
fcntl64(3, F_SETFD, FD_CLOEXEC)         = 0
rt_sigaction(SIGALRM, {0x4013xxxx, ~[], 0}, {SIG_DFL}, 8) = 0
rt_sigprocmask(SIG_UNBLOCK, [ALRM], [], 8) = 0
alarm(15)                               = 0
fcntl64(3, F_SETLKW, {type=F_WRLCK, whence=SEEK_SET, start=0, len=0}) = 0
alarm(0)                                = 15
rt_sigprocmask(SIG_SETMASK, [], NULL, 8) = 0
rt_sigaction(SIGALRM, {SIG_DFL}, NULL, 8) = 0
getpid()                                = 11684
open("/etc/passwd.11684", O_WRONLY|O_CREAT|O_EXCL, 0600) = 4
getpid()                                = 11684
write(4, "11684\0", 6)                  = 6
close(4)                                = 0
link("/etc/passwd.11684", "/etc/passwd.lock") = 0
stat64("/etc/passwd.11684", {st_mode=S_IFREG|0600, st_size=6, ...}) = 0
unlink("/etc/passwd.11684")             = 0
open("/etc/passwd", O_RDWR)             = 4
fstat64(4, {st_mode=S_IFREG|0644, st_size=2068, ...}) = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x401d6000
read(4, "root:x:0:0:root:/root:/bin/bashn"..., 4096) = 2068
read(4, "", 4096)                       = 0
getpid()                                = 11684
open("/etc/shadow.11684", O_WRONLY|O_CREAT|O_EXCL, 0600) = 5
getpid()                                = 11684
write(5, "11684\0", 6)                  = 6
close(5)                                = 0
link("/etc/shadow.11684", "/etc/shadow.lock") = 0
stat64("/etc/shadow.11684", {st_mode=S_IFREG|0600, st_size=6, ...}) = 0
unlink("/etc/shadow.11684")             = 0
open("/etc/shadow", O_RDWR)             = -1 EACCES (Permission denied)
open("/usr/share/locale/locale.alias", O_RDONLY) = 5
fstat64(5, {st_mode=S_IFREG|0644, st_size=2539, ...}) = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x401d7000
read(5, "# Locale name alias data base.n#"..., 4096) = 2539
read(5, "", 4096)                       = 0
close(5)                                = 0
munmap(0x401d7000, 4096)                = 0
open("/usr/share/locale/en_DE/LC_MESSAGES/shadow.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en/LC_MESSAGES/shadow.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en_US/LC_MESSAGES/shadow.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en_GB/LC_MESSAGES/shadow.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
write(2, "useradd: cannot open shadow pass"..., 42useradd: cannot open shadow password file
) = 42
unlink("/etc/shadow.lock")              = 0
close(4)                                = 0
munmap(0x40xxxxx0, 4096)                = 0
unlink("/etc/passwd.lock")              = 0
close(3)                                = 0
exit_group(1)                           = ?

beste Grüße...

[juergen]

Interessant: Der Kernel verweigert dir tatsächlich den Zugriff auf /etc/shadow. Deshalb nochmal die Nachfrage: Du verwendest kein Sicherheitsmodule wie SELinux?

Aber in /etc darfst du schreiben. Dann probier doch mal folgendes:

Code: Select all

cp /etc/shadow /etc/shadow.sic

und wenn das funktioniert:

Code: Select all

mv /etc/shadow.sic /etc/shadow

Viel Erfolg

[mattiass]

strace sagt eigentlich auch nicht mehr als das der Zugriff auf die Shadow verweigert wird.
'strace' wurde natürlich als root ausgeführt, bevor jetzt jemand fragt wegen Permission denied. Werden den Server jetzt aber doch wohl neu aufsetzen...

Ich würde erst mal auf einer sauberen Maschine einen Kernel und eine Sammlung von CLI-Tools (Busybox static gegen uClibc sollte reichen) bauen und via Rettungssystem auf den Server hochschieben.

Dann kann mit den Prozess-Werkzeugen der Busybox ermittelt werden, ob was auf dem Server läuft, was da nicht hingehört (Stichwort Rootkit).

[snapy]

@jürgen

Code: Select all

mv: overwrite `/etc/shadow', overriding mode 0640? y
mv: cannot move `/etc/shadow.sic' to `/etc/shadow': Operation not permitted

SELinux wird nicht verwendet...

@mattias
meinst nicht, dass eine Neuinstallation schneller wäre. uns fehlt etwas die Zeit..

kommt einer von euch vielleicht aus NRW/Ruhrpott? und hat lust auf einen Job?

[mattiass]

@mattias
meinst nicht, dass eine Neuinstallation schneller wäre. uns fehlt etwas die Zeit..

Schneller schon, aber wenn die Lücke bleibt, hast Du ein Problem. Mache wenigstens mit dem Rettungssystem mit "rsync" auf Dateisystemebene einen kompletten Abzug aller Partitionen. Möglicherweise findest Du auf dieser Sicherung später die Ursache des Problems.

BTW: Was für ein Kernel war/ist drauf?

EDIT: Kann auch sein, dass das FS ziemlich gesemmelt ist. Wurden die SMART-Werte schon ausgelesen und ein fsck vom Rettungssystem aus durchgeführt?

[juergen]

Das sieht irgendwie ganz klar nach einem gesetzten immutable flag aus. lsattr/chattr hast du nicht? Dann e2fsprogs nachinstallieren (oder notfallsystem booten) und das immutable flag mit

Code: Select all

chattr -i /etc/shadow

löschen.

Viel Erfolg.

[snapy]

Kernel: 2.6.8-3

e2fsprogs ist bereits drauf, lsattr funktioniert aber nicht nicht(s.o.)
Das mit dem Rescuesystem versuche ich jetzt nochmal...

[sledge0303]

Mal eine ganz andere Frage, hast du schon mal das Dateisystem/Festplatte überprüft?

[snapy]

was meinst du genau?