---

Hej.

Jeg har fået et yderst mærkværdigt problem.
Efter jeg har restoret hele vores server fra en fullbackup, kan jeg
ikke længere SU'e til root fra en bruger der har rettighederne til
dette.

Brugerretighederne i linuxconf står til "Granted/silent" på alt (også
på SuperUser equivalence) og medlemskabet af gruppen er foruden
brugerens egen gruppe også root og adm.

Følgende står i /var/log/messages

Feb 22 17:44:25 plys PAM_unix[1142]: (system-auth) session opened for
user je by LOGIN(uid=0)
Feb 22 17:44:25 plys -- je[1142]: LOGIN ON tty2 BY je
Feb 22 17:44:34 plys unix_chkpwd[1191]: check pass; user unknown
Feb 22 17:44:34 plys PAM_unix[1190]: authentication failure;
je(uid=500) -> root for system-auth service

Jeg vil være meget taknemmeligt for ethvert tip.

--
Med venlig hilsen
Jan Eggen
ITAI

---

"Jan Eggen" <je@itai.dk> wrote in message
news:3a953f2f.31472417@news.euroconnect.dk...
> Hej.
>
> Jeg har fået et yderst mærkværdigt problem.
> Efter jeg har restoret hele vores server fra en fullbackup, kan jeg
> ikke længere SU'e til root fra en bruger der har rettighederne til
> dette.
>
> Brugerretighederne i linuxconf står til "Granted/silent" på alt (også
> på SuperUser equivalence) og medlemskabet af gruppen er foruden
> brugerens egen gruppe også root og adm.
>
> Følgende står i /var/log/messages
>
> Feb 22 17:44:25 plys PAM_unix[1142]: (system-auth) session opened for
> user je by LOGIN(uid=0)
> Feb 22 17:44:25 plys -- je[1142]: LOGIN ON tty2 BY je
> Feb 22 17:44:34 plys unix_chkpwd[1191]: check pass; user unknown
> Feb 22 17:44:34 plys PAM_unix[1190]: authentication failure;
> je(uid=500) -> root for system-auth service
>
> Jeg vil være meget taknemmeligt for ethvert tip.


Hvilken unix ?

Hvordan har du lavet din restore ?
Jeg formoder at du med fuld restore også har lavet restore af /etc o.s.v.,
right ?
Kørte operativsystemet på den aktuelle disk mens du lavede denne restore,
eller lavede du restore til en anden disk for efterfølgende at boote på
denne (som så nu har de nævnte problemer).
Har du rebootet siden din restore ?

Hvis det er Linux/Solaris/Tru64 så prøv at lave en vipw og exit med wq (ikke
kun q). vipw laver syntakstjek af /etc/passwd og relaterede filer og sørger
for at sync'e de rette ting ved exit (hvis man exitter med w og/eller har
ændret noget).


Jeg har en fornemmelse at der er noget i vejen med din passwordfil eller
dens shadow.
På Tru64 plejer en tilsvarende fejl at skyldes en blank linie i /etc/passwd.
Denne fejl kan opstå hvis filen man har lavet backup & restore af var åben
mens man tog backup.


l8r/Jspr

---

On Thu, 22 Feb 2001 19:45:04 GMT, "Jesper Frank Nemholt"
<jfn@dassic.com> wrote:

>Hvilken unix ?

En Redhat 7.0

>Hvordan har du lavet din restore ?

Jeg har startet serveren op i single user mode og restoret det vha.
backupprogrammet fra HP der hedder TapeWare (det samme program som tog
backupen).

>Jeg formoder at du med fuld restore også har lavet restore af /etc o.s.v.,
>right ?

Ja.

>Kørte operativsystemet på den aktuelle disk mens du lavede denne restore,
>eller lavede du restore til en anden disk for efterfølgende at boote på
>denne (som så nu har de nævnte problemer).

Det var til serveren selv.
Kort fortalt så er det en helt ny server, hvori der sidder det samme
hardware som den server det blev taget backup fra.
Inden restoren har jeg installeret Redhat 7.0 samt en ekstra driver
til en RAID controller, samt tildelt den det samme maskinnavn + domæne
+ IP-nummer som den oprindelige server (som ikke findes længere).

>Har du rebootet siden din restore ?

Ja.
Maskinen kunne dog ikke starte op efter restoren (stoppede med
bogstaverne "LI" under LILO opstarten) så jeg gik ind med en bootdisk
og lagde LILO ind igen.

Jeg er dog ikke sikker på at partitionerne (boot, root og swap) er
blevet oprettet på den samme måde/størrelse som på den oprindelige
server.

>Hvis det er Linux/Solaris/Tru64 så prøv at lave en vipw og exit med wq (ikke
>kun q). vipw laver syntakstjek af /etc/passwd og relaterede filer og sørger
>for at sync'e de rette ting ved exit (hvis man exitter med w og/eller har
>ændret noget).

Jeg kan ikke telnettet mig ind som root på serveren (fandt jeg lige ud
af, da jeg kom hjem) så det vil jeg prøve imorgen.

>Jeg har en fornemmelse at der er noget i vejen med din passwordfil eller
>dens shadow.
>På Tru64 plejer en tilsvarende fejl at skyldes en blank linie i /etc/passwd.
>Denne fejl kan opstå hvis filen man har lavet backup & restore af var åben
>mens man tog backup.

OK, det lyder ikke helt usandsynligt, da det var et helt nyt
backupprogram vi ikke har brugt før, så jeg kender ikke helt dens
unåder endnu.

Mange tak for hjælpen indtil videre.

--
Med Venlig Hilsen, Jan Eggen
URL: http://www.eggen.dk/
E-mail: jan@eggen.dk * ICQ-UIN 3749663

---

Den Thu, 22 Feb 2001 21:47:09 +0100 skrev Jan Eggen:
>On Thu, 22 Feb 2001 19:45:04 GMT, "Jesper Frank Nemholt"
><jfn@dassic.com> wrote:
>
>>Hvilken unix ?
>
>En Redhat 7.0
>
>>Hvordan har du lavet din restore ?
>
>Jeg har startet serveren op i single user mode og restoret det vha.
>backupprogrammet fra HP der hedder TapeWare (det samme program som tog
>backupen).

Er det ikke det der suspekte program der fulgte med båndstationerne.

Det program kasserede jeg allerede efter at den havde meldt fejl under
installationen ("You must be root" - standard sikkerhedsprocedure: det
eneste der bliver installeret som root er det der kommer fra OS-CD'en),
og en gennemlæsning af README'en (specielle kernemoduler - hvorfor kan
den ikke bare bruge /dev/st0 lige som alt andet?). Den slags skrammel
skal jeg ikke have ind på de maskiner jeg administrerer.

>>Jeg har en fornemmelse at der er noget i vejen med din passwordfil eller
>>dens shadow.
>>På Tru64 plejer en tilsvarende fejl at skyldes en blank linie i /etc/passwd.
>>Denne fejl kan opstå hvis filen man har lavet backup & restore af var åben
>>mens man tog backup.
>
>OK, det lyder ikke helt usandsynligt, da det var et helt nyt
>backupprogram vi ikke har brugt før, så jeg kender ikke helt dens
>unåder endnu.

Den slags undersøger man INDEN man gør sig afhængig af det.

Mvh
Kent
--
http://www.celebrityshine.com/~kfr - nu med thumbnails på grafiksiderne.

---

On Thu, 22 Feb 2001 20:57:30 GMT, leeloo@mailandnews.com (Kent Friis)
wrote:

[KLIP - TapeWare]
>Er det ikke det der suspekte program der fulgte med båndstationerne.

Jo, det fulgte med en HP DAT streamer.

[KLIP]
> Den slags skrammel skal jeg ikke have ind på de maskiner jeg administrerer.

Vi fik det anbefalet af et firma vi kender, som bruger det på deres
Linux maskiner.
De havde dog heller ikke nogen idéer til hvad der kan være sket.
Hvilket backupprogram vil du ellers anbefale, jeg har hørt både godt
og skidt om Arkeia?

[KLIP]
>>OK, det lyder ikke helt usandsynligt, da det var et helt nyt
>>backupprogram vi ikke har brugt før, så jeg kender ikke helt dens
>>unåder endnu.
>
>Den slags undersøger man INDEN man gør sig afhængig af det.

Sagen er den at det var en server jeg var igang med at klargøre og den
blev stjålet mens jeg var på ferie, så jeg har ikke haft mulighed for
at teste det til bunds.
Desuden er jeg mere bekendt med AIX, som faktisk er det jeg er ved at
skifte over fra, så der er jo mange ting der er nye på en Linux
boks...

--
Med venlig hilsen
Jan Eggen
ITAI

---

Jan Eggen wrote:

> Vi fik det anbefalet af et firma vi kender, som bruger det på deres
> Linux maskiner.

Har de selv prøvet at lave en restore?

> De havde dog heller ikke nogen idéer til hvad der kan være sket.
> Hvilket backupprogram vil du ellers anbefale, jeg har hørt både godt
> og skidt om Arkeia?

tar?

Mogens
--
Mogens Kjaer, Carlsberg Laboratory, Dept. of Chemistry
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

On Fri, 23 Feb 2001 11:05:32 +0100, Mogens Kjaer <mk@crc.dk> wrote:

>> Vi fik det anbefalet af et firma vi kender, som bruger det på deres
>> Linux maskiner.
>
>Har de selv prøvet at lave en restore?

Ikke "from scratch", de har f.eks. restoret /home men ikke en hel
server.

>> De havde dog heller ikke nogen idéer til hvad der kan være sket.
>> Hvilket backupprogram vil du ellers anbefale, jeg har hørt både godt
>> og skidt om Arkeia?
>
>tar?

Det har jeg også brugt indtil videre på AIX'en, jeg troede bare det
var blevet "umoderne".

På AIX'en tager det dog en mindre evighed at restore en enkelt fil,
det ville jeg godt undgå med et Rigtigt[TM]backupprogram.

--
Med venlig hilsen
Jan Eggen
ITAI

---

In <3a963167.7680565@news.euroconnect.dk> je@itai.dk (Jan Eggen) writes:

>On Thu, 22 Feb 2001 20:57:30 GMT, leeloo@mailandnews.com (Kent Friis)
>wrote:

>[KLIP - TapeWare]
>>Er det ikke det der suspekte program der fulgte med båndstationerne.

>Jo, det fulgte med en HP DAT streamer.

>[KLIP]
>> Den slags skrammel skal jeg ikke have ind på de maskiner jeg administrerer.

>Vi fik det anbefalet af et firma vi kender, som bruger det på deres
>Linux maskiner.
>De havde dog heller ikke nogen idéer til hvad der kan være sket.
>Hvilket backupprogram vil du ellers anbefale, jeg har hørt både godt
>og skidt om Arkeia?

Amanda er godt.
Ellers bare dump/restore

/Martin

---

Den Fri, 23 Feb 2001 09:52:55 GMT skrev Jan Eggen:
>On Thu, 22 Feb 2001 20:57:30 GMT, leeloo@mailandnews.com (Kent Friis)
>wrote:
>
>[KLIP - TapeWare]
>>Er det ikke det der suspekte program der fulgte med båndstationerne.
>
>Jo, det fulgte med en HP DAT streamer.
>
>[KLIP]
>> Den slags skrammel skal jeg ikke have ind på de maskiner jeg administrerer.
>
>Vi fik det anbefalet af et firma vi kender, som bruger det på deres
>Linux maskiner.
>De havde dog heller ikke nogen idéer til hvad der kan være sket.
>Hvilket backupprogram vil du ellers anbefale, jeg har hørt både godt
>og skidt om Arkeia?

tar - nemt, effektivt og gennemtestet.

Mvh
Kent
--
http://www.celebrityshine.com/~kfr - nu med thumbnails på grafiksiderne.

---

On Thu, 22 Feb 2001 19:45:04 GMT, "Jesper Frank Nemholt"
<jfn@dassic.com> wrote:

[KLIP]
>Hvis det er Linux/Solaris/Tru64 så prøv at lave en vipw og exit med wq (ikke
>kun q). vipw laver syntakstjek af /etc/passwd og relaterede filer og sørger
>for at sync'e de rette ting ved exit (hvis man exitter med w og/eller har
>ændret noget).

Jeg kan desværre ikke se mit indlæg jeg har set hjemmefra, så jeg
svarer lige på dette indlæg istedet.

Jeg har nu prøvet vipw, desværre uden held.

Jeg fandt dog også ud af at jeg heller ikke kan logge ind direkte som
root længere via telnet, en ting der også har virket før, på RH 7.0
boksen.

Hvis man er root kan man godt SU'e til en bruger, men min egen
administrationsbruger kan ikke engang SU'e til en normal bruger.

>Jeg har en fornemmelse at der er noget i vejen med din passwordfil eller
>dens shadow.
>På Tru64 plejer en tilsvarende fejl at skyldes en blank linie i /etc/passwd.
>Denne fejl kan opstå hvis filen man har lavet backup & restore af var åben
>mens man tog backup.

Der ser ikke ud til at være nogle blanke linier i /etc/passwd

Jeg har desuden prøvet at ændre passwordet på root og lavet en ny
administrationsbruger, dette gav heller ikke gevinst.

Kan det være en indstilling i et PAM modul der laver denne fejl?

--
Med venlig hilsen
Jan Eggen
ITAI

---

On Thu, 22 Feb 2001 19:45:04 GMT, "Jesper Frank Nemholt"
<jfn@dassic.com> wrote:

Det ser ud til at der er lidt grus i de newsservere jeg bruger, så jeg
sender lige det oprindelige svar igen.
Undskyld til dem der allerede har læst det

>Hvilken unix ?

En Redhat 7.0

>Hvordan har du lavet din restore ?

Jeg har startet serveren op i single user mode og restoret det vha.
backupprogrammet fra HP der hedder TapeWare (det samme
program som tog
backupen).

>Jeg formoder at du med fuld restore også har lavet restore af /etc
o.s.v.,
>right ?

Ja.

>Kørte operativsystemet på den aktuelle disk mens du lavede
denne restore,
>eller lavede du restore til en anden disk for efterfølgende at boote
på
>denne (som så nu har de nævnte problemer).

Det var til serveren selv.
Kort fortalt så er det en helt ny server, hvori der sidder det samme
hardware som den server det blev taget backup fra.
Inden restoren har jeg installeret Redhat 7.0 samt en ekstra driver
til en RAID controller, samt tildelt den det samme maskinnavn + domæne
+
IP-nummer som den oprindelige server (som ikke findes længere).

>Har du rebootet siden din restore ?

Ja.
Maskinen kunne dog ikke starte op efter restoren (stoppede med
bogstaverne "LI" under LILO opstarten) så jeg gik ind med en bootdisk
og
lagde LILO ind igen.

Jeg er dog ikke sikker på at partitionerne (boot, root og swap) er
blevet oprettet på den samme måde/størrelse som på den oprindelige
server.

>Hvis det er Linux/Solaris/Tru64 så prøv at lave en vipw og exit med wq
>(ikke kun q). vipw laver syntakstjek af /etc/passwd og relaterede filer
>og sørger for at sync'e de rette ting ved exit (hvis man exitter med w
>og/eller har ændret noget).

Jeg kan ikke telnettet mig ind som root på serveren (fandt jeg lige ud
af,
da jeg kom hjem) så det vil jeg prøve imorgen.

>Jeg har en fornemmelse at der er noget i vejen med din passwordfil eller
>dens shadow. På Tru64 plejer en tilsvarende fejl at skyldes en blank
>linie i /etc/passwd. Denne fejl kan opstå hvis filen man har lavet backup
>& restore af var åben mens man tog backup.

OK, det lyder ikke helt usandsynligt, da det var et helt nyt
backupprogram vi ikke har brugt før, så jeg kender ikke helt dens
unåder endnu.

Mange tak for hjælpen indtil videre.



--
Med venlig hilsen
Jan Eggen
ITAI