Moin,
ich habe hier ein Debian stable am Laufen und verwende als Desktop den Gnome Classic. Wenn der Screen durch den Screensaver gelockt wurde, klappt der Unlock nicht: trotz Eingabe des korrekten Passwortes wird bemängelt, es wäre falsch (Authentication Failure). Dies war nicht schon immer so, erst seit einigen Tagen. Gefühlt würde ich sagen, es ist so, seitdem ich das root-Passwort mittels passwd geändert habe.
Fällt Jemandem auf Anhieb was dazu ein? Muß das neue Passwort noch irgendwo hinterlegt werden?
Danke, Hilmar
On 04.02.2015 14:05, "Bernd Müller" wrote:
Moin,
könnte sein, dass im home-Ordner eine "alte" Datei .Xautority abgelegt ist, die den Unlock-Vorgang verhindert?
Habe die Datei auf ...old umbenannt und die X-Session neu gestartet. Geholfen hat das nicht. Hat IMHO an der Stelle auch nichts zu bedeuten.
H.
Hi Hilmar,
On Tue, Feb 03, 2015 at 23:41:27 +0100, Hilmar Preuße wrote:
ich habe hier ein Debian stable am Laufen und verwende als Desktop den Gnome Classic. Wenn der Screen durch den Screensaver gelockt wurde, klappt der Unlock nicht: trotz Eingabe des korrekten Passwortes wird bemängelt, es wäre falsch (Authentication Failure). Dies war nicht schon immer so, erst seit einigen Tagen. Gefühlt würde ich sagen, es ist so, seitdem ich das root-Passwort mittels passwd geändert habe.
Wie sehen die Ownerships/Permissions von /etc/shadow aus?
Wie sehen die Ownerships/Permissions des Passwort-Helpers[1] von PAM aus? Oder verwendet der Gnome Screenlock kein PAM?
[1] Ich meine /sbin/unix_chkpwd. Ueblicherweise ist dort ein sgid-Bit und eine bestimmte Gruppenzugehoerigkeit im Spiel.
Gruss, Chris
On 04.02.2015 16:08, Christian Perle wrote:
On Tue, Feb 03, 2015 at 23:41:27 +0100, Hilmar Preuße wrote:
Moin,
ich habe hier ein Debian stable am Laufen und verwende als Desktop den Gnome Classic. Wenn der Screen durch den Screensaver gelockt wurde, klappt der Unlock nicht: trotz Eingabe des korrekten Passwortes wird bemängelt, es wäre falsch (Authentication Failure). Dies war nicht schon immer so, erst seit einigen Tagen. Gefühlt würde ich sagen, es ist so, seitdem ich das root-Passwort mittels passwd geändert habe.
Wie sehen die Ownerships/Permissions von /etc/shadow aus?
hille@haka:/etc$ ls -l shadow* -rw------- 1 root root 1293 Feb 1 13:16 shadow -rw------- 1 root root 1293 Nov 11 08:45 shadow- hille@haka:/etc$ ls -l passwd* -rw-r--r-- 1 root root 1766 Nov 11 08:45 passwd -rw------- 1 root root 1766 Nov 11 08:45 passwd-
Ja, an der shadow habe ich herum kopiert, aber IMHO sieht das so gut aus, wie es ist.
Wie sehen die Ownerships/Permissions des Passwort-Helpers[1] von PAM aus? Oder verwendet der Gnome Screenlock kein PAM?
hille@haka:/etc$ ls -l /sbin/unix_chkpwd -rwxr-sr-x 1 root shadow 35408 Apr 29 2012 /sbin/unix_chkpwd
Zumindest in /etc/pam.d gibt es eine Datei gnome-screensaver:
hille@haka:/etc/pam.d$ less -X gnome-screensaver @include common-auth auth optional pam_gnome_keyring.so
...und von PAM habe ich gar keine Ahnung.
[1] Ich meine /sbin/unix_chkpwd. Ueblicherweise ist dort ein sgid-Bit und eine bestimmte Gruppenzugehoerigkeit im Spiel.
Sieht IMHO gut aus.
H.
Hallo Hilmar,
On Wed, Feb 04, 2015 at 16:15:56 +0100, Hilmar Preuße wrote:
hille@haka:/etc$ ls -l shadow* -rw------- 1 root root 1293 Feb 1 13:16 shadow -rw------- 1 root root 1293 Nov 11 08:45 shadow-
[...]
Ja, an der shadow habe ich herum kopiert, aber IMHO sieht das so gut aus, wie es ist.
Nein, die muss so aussehen:
chris@sphere:/etc$ ls -l shadow -rw-r----- 1 root shadow 835 Nov 5 2013 shadow
Die /etc/shadow muss der Gruppe shadow gehoeren und fuer diese lesbar sein. Ueber genau diesen Mechanismus kommt sgid-Binary /sbin/unix_chkpwd an den Passwort-Hash heran.
Aufgerufen wird /sbin/unix_chkpwd ueber das PAM-Modul pam_unix.so. Diese Shared Library wird von PAM fuer den klassischen Unix-Passwortcheck (lokale /etc/shadow) verwendet.
Gruss, Chris
On 04.02.2015 17:24, Christian Perle wrote:
On Wed, Feb 04, 2015 at 16:15:56 +0100, Hilmar Preuße wrote:
Moin,
hille@haka:/etc$ ls -l shadow* -rw------- 1 root root 1293 Feb 1 13:16 shadow -rw------- 1 root root 1293 Nov 11 08:45 shadow-
[...]
Ja, an der shadow habe ich herum kopiert, aber IMHO sieht das so gut aus, wie es ist.
Nein, die muss so aussehen:
chris@sphere:/etc$ ls -l shadow -rw-r----- 1 root shadow 835 Nov 5 2013 shadow
Die /etc/shadow muss der Gruppe shadow gehoeren und fuer diese lesbar sein. Ueber genau diesen Mechanismus kommt sgid-Binary /sbin/unix_chkpwd an den Passwort-Hash heran.
Mist, hätte ich doch erstmal das Referenzsystem konsultieren sollen... Das wars, der Unlock geht wieder.
Hilmar
lug-dd@mailman.schlittermann.de
-
"Bernd Müller" -
Christian Perle -
Hilmar Preuße