Debian: shadow file ...hilfe!

Rund um die Sicherheit des Systems und die Applikationen
snapy
Posts: 10
Joined: 2006-11-08 09:48
Location: Essen

Debian: shadow file ...hilfe!

Post by snapy » 2006-11-08 09:50

Guten Morgen,

nach einem Update von Plesk kann das gesamte System nicht mehr auf die shadow file zugreifen, bzw. in diese schreiben. Bei allen Versuchen (anlegen neuer User, Passwort ändern etc.) kommt immer die Fehlermeldung: "can't open shadow file"

Premissions: 640 (lässt sich auch nicht ändern)

Wir haben keine Idee mehr woran es liegen könnte, bitte um Hilfe!


Schöne Grüße
snapy
Last edited by snapy on 2006-11-08 15:41, edited 1 time in total.

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Debian: shadow file ...hilfe!

Post by Roger Wilco » 2006-11-08 10:54

Poste die Ausgaben von:

Code: Select all

ls -ld /etc
ls -l /etc/shadow
useradd testuser
Und schau, ob `getent shadow` die richtige Ausgabe liefert. Die solltest du hier nicht posten.[/code]

snapy
Posts: 10
Joined: 2006-11-08 09:48
Location: Essen

Re: Debian: shadow file ...hilfe!

Post by snapy » 2006-11-08 11:38

Hallo Roger,

Danke für deine Antwort!

ls -ld /etc

Code: Select all

drwxr-xr-x  77 root root 4096 2006-11-08 09:24 /etc
ls -l /etc/shadow

Code: Select all

-rw-r-----  1 root shadow 1432 2006-09-26 18:34 /etc/shadow
useradd testuser

Code: Select all

useradd: cannot open shadow password file
Die eigentliche Datei ist richtig.

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Debian: shadow file ...hilfe!

Post by Roger Wilco » 2006-11-08 11:41

Nur noch mal sicherheitshalber gefragt: Du führst useradd schon als Benutzer root aus, oder?

snapy
Posts: 10
Joined: 2006-11-08 09:48
Location: Essen

Re: Debian: shadow file ...hilfe!

Post by snapy » 2006-11-08 11:52

ja, der Fehler liegt sicherlich nicht zwischen den Ohren.

lines
Posts: 55
Joined: 2002-10-05 20:38

Re: Debian: shadow file ...hilfe!

Post by lines » 2006-11-08 20:27

was sagt `lsattr /etc/shadow` ?

.lines

sledge0303
Posts: 695
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: Debian: shadow file ...hilfe!

Post by sledge0303 » 2006-11-09 01:39

lines wrote:was sagt `lsattr /etc/shadow` ?

.lines
meinst sein /etc/shadow ist per immutable bit "gesichert"...
Wenn er angeblich die Permission nicht ändern kann wäre es nicht auszuschließen.

snapy
Posts: 10
Joined: 2006-11-08 09:48
Location: Essen

Re: Debian: shadow file ...hilfe!

Post by snapy » 2006-11-09 07:50

@lines
    -bash: lsattr: command not found
Auch 'chattr' funkt nicht, obwohl das entsprechnede Package: e2fsprogs installiert ist. ??

@sledge0303
Die Rechte der Datei lassen sich wirklich nicht ändern. Nicht mal das Passwort(auch als root) lässt sich ändern. Das "immutable bit" könnte aber ein guter Ansatz sein. Wie bekommt man das Attribut angezeigt, bzw . geändert, außer mit 'lsattr' bzw. 'chattr' ???

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Debian: shadow file ...hilfe!

Post by captaincrunch » 2006-11-09 19:35

Wenn auf einem meiner Systeme plötzlich lsattr und chattr fehlen, würde mir das doch extrem zu denken geben.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

juergen
Posts: 133
Joined: 2004-03-30 14:44

Re: Debian: shadow file ...hilfe!

Post by juergen » 2006-11-09 22:17

CaptainCrunch wrote:Wenn auf einem meiner Systeme plötzlich lsattr und chattr fehlen, würde mir das doch extrem zu denken geben.
Hmm lsattr/chattr ist ext2-specifisch. Wer weiß, was er für eine Filesystem hat...

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Debian: shadow file ...hilfe!

Post by Joe User » 2006-11-09 22:29

AFAIR nutzt Debian per Default lilo und ebenfalls AFAIR benötigt lilo /boot auf ext[23], was wiederum impliziert, dass die e2fsprogs installiert sein müssen...

PS: Man möge mich bezüglich meiner AFAIRs korrigieren ;)
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Debian: shadow file ...hilfe!

Post by Roger Wilco » 2006-11-09 22:55

juergen wrote:Hmm lsattr/chattr ist ext2-specifisch.
lsattr|chattr sind zwar in den e2fsprogs enthalten, funktionieren aber für alle Dateisysteme, die erweiterte Attribute unterstützen, also auch XFS, ReiserFS und JFS.

juergen
Posts: 133
Joined: 2004-03-30 14:44

Re: Debian: shadow file ...hilfe!

Post by juergen » 2006-11-09 23:41

Joe User wrote:AFAIR nutzt Debian per Default lilo und ebenfalls AFAIR benötigt lilo /boot auf ext[23], was wiederum impliziert, dass die e2fsprogs installiert sein müssen...

PS: Man möge mich bezüglich meiner AFAIRs korrigieren ;)
Lilo kennt im Gegensatz zu grub keine Filesysteme... Deshalb wird mittels spezieller ioctls ein map-file mit der Position der Fileblöcke des Kernels/intfs auf dem Datenträger generiert.

Aber man drifted vom ursprünglichen Thema ab :-D

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Debian: shadow file ...hilfe!

Post by Joe User » 2006-11-10 01:06

Dann dürfte es mit lilo problemlos möglich sein jegliche OSs sowohl von HDD als auch von ISO-Images zu booten ;) Wofür stand das "li" noch? Und wo wird das map-file abgelegt?

Ich muss mich wohl mal intensiver mit lilo befassen...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

snapy
Posts: 10
Joined: 2006-11-08 09:48
Location: Essen

Re: Debian: shadow file ...hilfe!

Post by snapy » 2006-11-10 08:13

Das System läuft auf ext3, lsattr/chattr müsste also funktionieren.
Neuinstallation von e2fsprogs bringt auch nichts.
Hat jemand noch eine konstruktive Idee? Neuinstallation würde hoche Kosten verursachen, so das wir das möglichst vermeiden wollen.

Einen Angriff bzw. Manipulation von Außen können wir fast Ausschließen, das Problem ist umgehend nach einem Plesk(usw)-Update aufgetreten. Fehler ist dann nach einem Reboot aufgetreten.

juergen
Posts: 133
Joined: 2004-03-30 14:44

Re: Debian: shadow file ...hilfe!

Post by juergen » 2006-11-10 22:25

Hast du eine SELinux-System? Dann überprüfe mal die Permissions mit

Code: Select all

ls -Z /etc/shadow
Die shadow tools sind bzgl. errno nicht sehr gesprächig. Probiere mal

Code: Select all

strace useradd testuser
und poste das Ergebnis hier.

Viel Erfolg

snapy
Posts: 10
Joined: 2006-11-08 09:48
Location: Essen

Re: Debian: shadow file ...hilfe!

Post by snapy » 2006-11-11 09:28

Hallo Jürgen,

strace sagt eigentlich auch nicht mehr als das der Zugriff auf die Shadow verweigert wird.
'strace' wurde natürlich als root ausgeführt, bevor jetzt jemand fragt wegen Permission denied. Werden den Server jetzt aber doch wohl neu aufsetzen...

Code: Select all

execve("/usr/sbin/useradd", ["useradd", "testuser168xxxxx"], [/* 19 vars */]) = 0
uname({sys="Linux", node="xxxxxxstems.de", ...}) = 0
brk(0)                                  = 0x80xxxxx
old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x40017000
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/etc/ld.so.preload", O_RDONLY)    = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY)      = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=19540, ...}) = 0
old_mmap(NULL, 19540, PROT_READ, MAP_PRIVATE, 3, 0) = 0x4001xxxx
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/tls/libcrypt.so.1", O_RDONLY) = 3
read(3, "177ELF111\0\0\0\0\0\0\0\0\03\03\01\0\0\0360t\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=18876, ...}) = 0
old_mmap(NULL, 181692, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0) = 0x4001d000
old_mmap(0x4002xxxx, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x4000) = 0x40022000
old_mmap(0x4002xxxx, 157116, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x400xxxx
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/libpam.so.0", O_RDONLY)      = 3
read(3, "177ELF111\0\0\0\0\0\0\0\0\03\03\01\0\0\0`25\0\000"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=30360, ...}) = 0
old_mmap(NULL, 29324, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0) = 0x4004a000
old_mmap(0x4005xxxx, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x7000) = 0x400xxxxx
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/libpam_misc.so.0", O_RDONLY) = 3
read(3, "177ELF111\0\0\0\0\0\0\0\0\03\03\01\0\0\026016"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=8800, ...}) = 0
old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x400xxxxx
old_mmap(NULL, 11880, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0) = 0x40053000
old_mmap(0x4005xxxx, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x1000) = 0x4005xxxx
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/tls/libc.so.6", O_RDONLY)    = 3
read(3, "177ELF111\0\0\0\0\0\0\0\0\03\03\01\0\0\0`Z1\000"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0755, st_size=1254660, ...}) = 0
old_mmap(NULL, 1264972, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0) = 0x40056000
old_mmap(0x40180000, 36864, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x12xxxx) = 0x401xxxx
old_mmap(0x40189000, 7500, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x4018xxxx
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/tls/libdl.so.2", O_RDONLY)   = 3
read(3, "177ELF111\0\0\0\0\0\0\0\0\03\03\01\0\0\032032"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=9872, ...}) = 0
old_mmap(NULL, 8632, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0) = 0x4018b000
old_mmap(0x4018xxxx, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x2000) = 0x4018xxxx
close(3)                                = 0
old_mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x4018e000
set_thread_area({entry_number:-1 -> 6, base_addr:0x401xxxx, limit:1048575, seg_32bit:1, contents:0, read_exec_only:0, limit_in_pages:1, seg_not_present:0, useable:1}) = 0
munmap(0x400xxxxx, 19540)               = 0
brk(0)                                  = 0x806xxxx
brk(0x808xxxx)                          = 0x808xxxx
brk(0)                                  = 0x808xxxx
open("/usr/lib/locale/locale-archive", O_RDONLY|O_LARGEFILE) = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=290576, ...}) = 0
mmap2(NULL, 290576, PROT_READ, MAP_PRIVATE, 3, 0) = 0x401xxxx
close(3)                                = 0
access("/etc/shadow", F_OK)             = 0
access("/etc/gshadow", F_OK)            = 0
open("/etc/default/useradd", O_RDONLY)  = -1 ENOENT (No such file or directory)
socket(PF_FILE, SOCK_STREAM, 0)         = 3
connect(3, {sa_family=AF_FILE, path="/var/run/.nscd_socket"}, 110) = -1 ENOENT (No such file or directory)
close(3)                                = 0
open("/etc/nsswitch.conf", O_RDONLY)    = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=465, ...}) = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x401xxxx
read(3, "# /etc/nsswitch.confn#n# Example"..., 4096) = 465
read(3, "", 4096)                       = 0
close(3)                                = 0
munmap(0x401xxxx, 4096)                = 0
open("/etc/ld.so.cache", O_RDONLY)      = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=19540, ...}) = 0
old_mmap(NULL, 19540, PROT_READ, MAP_PRIVATE, 3, 0) = 0x401xxxx
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/tls/libnss_compat.so.2", O_RDONLY) = 3
read(3, "177ELF111\0\0\0\0\0\0\0\0\03\03\01\0\0\000022\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=28616, ...}) = 0
old_mmap(NULL, 31628, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0) = 0x401db000
old_mmap(0x401xxxx, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x6000) = 0x401e2000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/tls/libnsl.so.1", O_RDONLY)  = 3
read(3, "177ELF111\0\0\0\0\0\0\0\0\03\03\01\0\0\0 <\0\000"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=73304, ...}) = 0
old_mmap(NULL, 80544, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0) = 0x401e3000
old_mmap(0x401f4xxxx, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x1xxxx) = 0x401xxxx
old_mmap(0x401f5000, 6816, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x401fxxxx
close(3)                                = 0
munmap(0x401dxxxx, 19540)               = 0
open("/etc/ld.so.cache", O_RDONLY)      = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=19540, ...}) = 0
old_mmap(NULL, 19540, PROT_READ, MAP_PRIVATE, 3, 0) = 0x401dxxxx
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/tls/libnss_nis.so.2", O_RDONLY) = 3
read(3, "177ELF111\0\0\0\0\0\0\0\0\03\03\01\0\0\02034\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=33440, ...}) = 0
old_mmap(NULL, 36620, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0) = 0x401f7000
old_mmap(0x401fxxxx, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x7000) = 0x401xxxx
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/tls/libnss_files.so.2", O_RDONLY) = 3
read(3, "177ELF111\0\0\0\0\0\0\0\0\03\03\01\0\0\020035"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=34748, ...}) = 0
old_mmap(NULL, 38044, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0) = 0x40200000
old_mmap(0x4020xxxx, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x8000) = 0x4020xxxx
close(3)                                = 0
munmap(0x401xxxx, 19540)               = 0
open("/etc/passwd", O_RDONLY)           = 3
fcntl64(3, F_GETFD)                     = 0
fcntl64(3, F_SETFD, FD_CLOEXEC)         = 0
_llseek(3, 0, [0], SEEK_CUR)            = 0
fstat64(3, {st_mode=S_IFREG|0644, st_size=2068, ...}) = 0
mmap2(NULL, 2068, PROT_READ, MAP_SHARED, 3, 0) = 0x401dxxxx
_llseek(3, 2068, [2068], SEEK_SET)      = 0
fstat64(3, {st_mode=S_IFREG|0644, st_size=2068, ...}) = 0
munmap(0x401dxxxx, 2068)                = 0
close(3)                                = 0
socket(PF_FILE, SOCK_STREAM, 0)         = 3
connect(3, {sa_family=AF_FILE, path="/var/run/.nscd_socket"}, 110) = -1 ENOENT (No such file or directory)
close(3)                                = 0
open("/etc/group", O_RDONLY)            = 3
fcntl64(3, F_GETFD)                     = 0
fcntl64(3, F_SETFD, FD_CLOEXEC)         = 0
_llseek(3, 0, [0], SEEK_CUR)            = 0
fstat64(3, {st_mode=S_IFREG|0644, st_size=703, ...}) = 0
mmap2(NULL, 703, PROT_READ, MAP_SHARED, 3, 0) = 0x401dxxxx
_llseek(3, 703, [703], SEEK_SET)        = 0
fstat64(3, {st_mode=S_IFREG|0644, st_size=703, ...}) = 0
munmap(0x401d6000, 703)                 = 0
close(3)                                = 0
open("/etc/.pwd.lock", O_WRONLY|O_CREAT, 0600) = 3
fcntl64(3, F_GETFD)                     = 0
fcntl64(3, F_SETFD, FD_CLOEXEC)         = 0
rt_sigaction(SIGALRM, {0x4013xxxx, ~[], 0}, {SIG_DFL}, 8) = 0
rt_sigprocmask(SIG_UNBLOCK, [ALRM], [], 8) = 0
alarm(15)                               = 0
fcntl64(3, F_SETLKW, {type=F_WRLCK, whence=SEEK_SET, start=0, len=0}) = 0
alarm(0)                                = 15
rt_sigprocmask(SIG_SETMASK, [], NULL, 8) = 0
rt_sigaction(SIGALRM, {SIG_DFL}, NULL, 8) = 0
getpid()                                = 11684
open("/etc/passwd.11684", O_WRONLY|O_CREAT|O_EXCL, 0600) = 4
getpid()                                = 11684
write(4, "11684\0", 6)                  = 6
close(4)                                = 0
link("/etc/passwd.11684", "/etc/passwd.lock") = 0
stat64("/etc/passwd.11684", {st_mode=S_IFREG|0600, st_size=6, ...}) = 0
unlink("/etc/passwd.11684")             = 0
open("/etc/passwd", O_RDWR)             = 4
fstat64(4, {st_mode=S_IFREG|0644, st_size=2068, ...}) = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x401d6000
read(4, "root:x:0:0:root:/root:/bin/bashn"..., 4096) = 2068
read(4, "", 4096)                       = 0
getpid()                                = 11684
open("/etc/shadow.11684", O_WRONLY|O_CREAT|O_EXCL, 0600) = 5
getpid()                                = 11684
write(5, "11684\0", 6)                  = 6
close(5)                                = 0
link("/etc/shadow.11684", "/etc/shadow.lock") = 0
stat64("/etc/shadow.11684", {st_mode=S_IFREG|0600, st_size=6, ...}) = 0
unlink("/etc/shadow.11684")             = 0
open("/etc/shadow", O_RDWR)             = -1 EACCES (Permission denied)
open("/usr/share/locale/locale.alias", O_RDONLY) = 5
fstat64(5, {st_mode=S_IFREG|0644, st_size=2539, ...}) = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x401d7000
read(5, "# Locale name alias data base.n#"..., 4096) = 2539
read(5, "", 4096)                       = 0
close(5)                                = 0
munmap(0x401d7000, 4096)                = 0
open("/usr/share/locale/en_DE/LC_MESSAGES/shadow.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en/LC_MESSAGES/shadow.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en_US/LC_MESSAGES/shadow.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
open("/usr/share/locale/en_GB/LC_MESSAGES/shadow.mo", O_RDONLY) = -1 ENOENT (No such file or directory)
write(2, "useradd: cannot open shadow pass"..., 42useradd: cannot open shadow password file
) = 42
unlink("/etc/shadow.lock")              = 0
close(4)                                = 0
munmap(0x40xxxxx0, 4096)                = 0
unlink("/etc/passwd.lock")              = 0
close(3)                                = 0
exit_group(1)                           = ?

beste Grüße...

juergen
Posts: 133
Joined: 2004-03-30 14:44

Re: Debian: shadow file ...hilfe!

Post by juergen » 2006-11-11 12:19

Interessant: Der Kernel verweigert dir tatsächlich den Zugriff auf /etc/shadow. Deshalb nochmal die Nachfrage: Du verwendest kein Sicherheitsmodule wie SELinux?

Aber in /etc darfst du schreiben. Dann probier doch mal folgendes:

Code: Select all

cp /etc/shadow /etc/shadow.sic
und wenn das funktioniert:

Code: Select all

mv /etc/shadow.sic /etc/shadow
Viel Erfolg

mattiass
Userprojekt
Userprojekt
Posts: 608
Joined: 2005-12-16 17:57

Re: Debian: shadow file ...hilfe!

Post by mattiass » 2006-11-11 12:25

snapy wrote: strace sagt eigentlich auch nicht mehr als das der Zugriff auf die Shadow verweigert wird.
'strace' wurde natürlich als root ausgeführt, bevor jetzt jemand fragt wegen Permission denied. Werden den Server jetzt aber doch wohl neu aufsetzen...
Ich würde erst mal auf einer sauberen Maschine einen Kernel und eine Sammlung von CLI-Tools (Busybox static gegen uClibc sollte reichen) bauen und via Rettungssystem auf den Server hochschieben.

Dann kann mit den Prozess-Werkzeugen der Busybox ermittelt werden, ob was auf dem Server läuft, was da nicht hingehört (Stichwort Rootkit).

snapy
Posts: 10
Joined: 2006-11-08 09:48
Location: Essen

Re: Debian: shadow file ...hilfe!

Post by snapy » 2006-11-11 13:56

@jürgen

Code: Select all

mv: overwrite `/etc/shadow', overriding mode 0640? y
mv: cannot move `/etc/shadow.sic' to `/etc/shadow': Operation not permitted

SELinux wird nicht verwendet...

@mattias
meinst nicht, dass eine Neuinstallation schneller wäre. uns fehlt etwas die Zeit..

kommt einer von euch vielleicht aus NRW/Ruhrpott? und hat lust auf einen Job?

mattiass
Userprojekt
Userprojekt
Posts: 608
Joined: 2005-12-16 17:57

Re: Debian: shadow file ...hilfe!

Post by mattiass » 2006-11-11 14:07

snapy wrote:
@mattias
meinst nicht, dass eine Neuinstallation schneller wäre. uns fehlt etwas die Zeit..
Schneller schon, aber wenn die Lücke bleibt, hast Du ein Problem. Mache wenigstens mit dem Rettungssystem mit "rsync" auf Dateisystemebene einen kompletten Abzug aller Partitionen. Möglicherweise findest Du auf dieser Sicherung später die Ursache des Problems.

BTW: Was für ein Kernel war/ist drauf?

EDIT: Kann auch sein, dass das FS ziemlich gesemmelt ist. Wurden die SMART-Werte schon ausgelesen und ein fsck vom Rettungssystem aus durchgeführt?

juergen
Posts: 133
Joined: 2004-03-30 14:44

Re: Debian: shadow file ...hilfe!

Post by juergen » 2006-11-11 14:36

Das sieht irgendwie ganz klar nach einem gesetzten immutable flag aus. lsattr/chattr hast du nicht? Dann e2fsprogs nachinstallieren (oder notfallsystem booten) und das immutable flag mit

Code: Select all

chattr -i /etc/shadow
löschen.

Viel Erfolg.

snapy
Posts: 10
Joined: 2006-11-08 09:48
Location: Essen

Re: Debian: shadow file ...hilfe!

Post by snapy » 2006-11-11 15:11

Kernel: 2.6.8-3

e2fsprogs ist bereits drauf, lsattr funktioniert aber nicht nicht(s.o.)
Das mit dem Rescuesystem versuche ich jetzt nochmal...

sledge0303
Posts: 695
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: Debian: shadow file ...hilfe!

Post by sledge0303 » 2006-11-11 15:15

Mal eine ganz andere Frage, hast du schon mal das Dateisystem/Festplatte überprüft?

snapy
Posts: 10
Joined: 2006-11-08 09:48
Location: Essen

Re: Debian: shadow file ...hilfe!

Post by snapy » 2006-11-11 15:23

was meinst du genau?