Меняется пароль юзера без ведома самого юзера.

[Sly_tom_cat]

Код: [Выделить]

rutbuntu:x:1000:1000:Rutbuntu,,,:/home/rutbuntu:/bin/bash
san:x:1001:1001:San,,,:/home/san:/bin/bash
Это два обычных пользователя - кто из них вы?

Это - записи которые нагенерил кто-то заходя под гостевой учеткой:

Код: [Выделить]

guest-Zpl6ye:x:117:128:Guest,,,:/tmp/guest-Zpl6ye:/bin/bash
guest-FsUbGu:x:118:129:Guest,,,:/tmp/guest-FsUbGu:/bin/bash
guest-JsdKIf:x:119:130:Guest,,,:/tmp/guest-JsdKIf:/bin/bash
guest-gw5A12:x:120:131:Guest,,,:/tmp/guest-gw5A12:/bin/bash
guest-HS7HKU:x:121:132:Guest,,,:/tmp/guest-HS7HKU:/bin/bash
guest-fTrWJL:x:122:133:Guest,,,:/tmp/guest-fTrWJL:/bin/bash
guest-vjjIGL:x:123:134:Guest,,,:/tmp/guest-vjjIGL:/bin/bash
guest-pL3STX:x:124:135:Guest,,,:/tmp/guest-pL3STX:/bin/bash
guest-Qt27VI:x:125:136:Guest,,,:/tmp/guest-Qt27VI:/bin/bash
guest-YCepRD:x:126:137:Guest,,,:/tmp/guest-YCepRD:/bin/bash
guest-cTYCfI:x:127:138:Guest,,,:/tmp/guest-cTYCfI:/bin/bash
guest-KaBAMZ:x:128:139:Guest,,,:/tmp/guest-KaBAMZ:/bin/bash
guest-MKM30U:x:129:140:Guest,,,:/tmp/guest-MKM30U:/bin/bash
guest-2WYROC:x:130:141:Guest,,,:/tmp/guest-2WYROC:/bin/bash
guest-Bg8Tzn:x:132:143:Guest,,,:/tmp/guest-Bg8Tzn:/bin/bash
guest-m0XJJm:x:133:144:Guest,,,:/tmp/guest-m0XJJm:/bin/bash
guest-kLfv58:x:134:145:Guest,,,:/tmp/guest-kLfv58:/bin/bash
guest-Szh1n1:x:135:146:Guest,,,:/tmp/guest-Szh1n1:/bin/bash
guest-n3dw1R:x:136:147:Guest,,,:/tmp/guest-n3dw1R:/bin/bash
guest-AR5jcO:x:137:148:Guest,,,:/tmp/guest-AR5jcO:/bin/bash
guest-zzzunt:x:138:149:Guest,,,:/tmp/guest-zzzunt:/bin/bash
guest-FLgeCr:x:139:150:Guest,,,:/tmp/guest-FLgeCr:/bin/bash
guest-tj7VMt:x:140:151:Guest,,,:/tmp/guest-tj7VMt:/bin/bash
guest-ZVZEhD:x:141:152:Guest,,,:/tmp/guest-ZVZEhD:/bin/bash
guest-bcBs2f:x:142:153:Guest,,,:/tmp/guest-bcBs2f:/bin/bash
guest-IVxpyD:x:116:155:Guest,,,:/tmp/guest-IVxpyD:/bin/bash
guest-CNqm5U:x:145:156:Guest,,,:/tmp/guest-CNqm5U:/bin/bash
Еще раз убедитесь что вы закрыли гостя.

Логи - смотрите в первую очередь /var/log/auth.log - там все события связанные с авторизацией пользователей на компе - если там фигурируете только вы и CRON - то все нормально, так и должно быть. Ну а все что кроме вас и крона - нужно разбираться.

[Шкипер]

Sly_tom_cat,
Я Rutbuntu.
Посмотрел /var/log/auth.log,там вроде кроме меня и CRON вроде кто то есть.

Еще раз убедитесь что вы закрыли гостя.

У меня отключен гостевой сеанс в lightDM. А можно вообще отключить пользователя гость?

[Sly_tom_cat]

Кроме lightDM заходить можно через текстовую консоль - там зайдет любой пользователь что разрешен.

Залочить пользователя -

Код: [Выделить]

sudo passwd -l guest
В логе вроде только вы и san засветились....

Расскажите как вы пользователя san настраиваете: тип входа, и покажите

Код: [Выделить]

sudoo groups san

[Karl500]

Что-то весьма странное. Вот смотрите:

Oct 29 20:26:56 ubuntu lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" was met by user "rutbuntu"
Oct 29 20:26:59 ubuntu lightdm: pam_unix(lightdm:session): session closed for user lightdm
Oct 29 20:28:12 ubuntu passwd[21150]: pam_unix(passwd:chauthtok): new password not acceptable
Oct 29 20:28:12 ubuntu passwd[21150]: pam_winbind(passwd:chauthtok): valid_user: wbcGetpwnam gave WBC_ERR_DOMAIN_NOT_FOUND
Oct 29 20:28:37 ubuntu passwd[21179]: pam_unix(passwd:chauthtok): new password not acceptable
Oct 29 20:28:37 ubuntu passwd[21179]: pam_winbind(passwd:chauthtok): valid_user: wbcGetpwnam gave WBC_ERR_DOMAIN_NOT_FOUND
Oct 29 20:34:36 ubuntu passwd[21622]: pam_unix(passwd:chauthtok): password changed for rutbuntu
Oct 29 20:34:36 ubuntu passwd[21682]: Couldn't access gnome keyring socket: /home/rutbuntu/.cache/keyring-cKMuEZ/control: Нет такого файла или каталога
Oct 29 20:34:36 ubuntu passwd[21622]: gkr-pam: couldn't change password for the login keyring.
Oct 29 20:34:36 ubuntu passwd[21622]: pam_ecryptfs: Passphrase file wrapped
Oct 29 20:34:37 ubuntu passwd[21683]: Error attempting to open [/home/rutbuntu/.ecryptfs/wrapped-passphrase] for reading
Oct 29 20:34:37 ubuntu passwd[21683]: pam_ecryptfs: Error attempting to unwrap passphrase; rc = [-5]
Oct 29 20:36:12 ubuntu polkitd(authority=local): Operator of unix-session:/org/freedesktop/ConsoleKit/Session20 successfully authenticated as unix-user:rutbuntu to gain TEMPORARY authorization for action org.freedesktop.accounts.user-administration for unix-process:21684:49293951 [gnome-control-center --overview] (owned by unix-user:rutbuntu)
Oct 29 20:36:19 ubuntu accounts-daemon: request by system-bus-name::1.549 [gnome-control-center --overview pid:21684 uid:1000]: delete user 'san' (1001)
Oct 29 20:36:19 ubuntu userdel[21815]: delete user 'san'
Oct 29 20:36:19 ubuntu userdel[21815]: removed group 'san' owned by 'san'

Заменен пароль у пользователя rutbuntu и практически сразу же удален пользователь san.

Чуть позже:

Oct 29 21:03:29 ubuntu polkitd(authority=local): Registered Authentication Agent for unix-session:/org/freedesktop/ConsoleKit/Session2 (system bus name :1.54 [gnome-shell --sm-client-id 108cd8472b45672ddb134426992482594900000103370000], object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale ru_RU.UTF-8)
Oct 29 21:04:09 ubuntu passwd[3136]: pam_unix(passwd:chauthtok): password changed for rutbuntu
Oct 29 21:04:09 ubuntu gnome-keyring-daemon[3140]: Gck: gck_module_new: assertion `funcs != NULL' failed
Oct 29 21:04:09 ubuntu gnome-keyring-daemon[3140]: module_instances: assertion `module' failed
Oct 29 21:04:09 ubuntu gnome-keyring-daemon[3140]: egg_error_message: assertion `error' failed
Oct 29 21:04:09 ubuntu gnome-keyring-daemon[3140]: couldn't find secret store module: (unknown)
Oct 29 21:04:09 ubuntu gnome-keyring-daemon[3140]: lookup_login_keyring: assertion `GCK_IS_SESSION (session)' failed
Oct 29 21:04:09 ubuntu gnome-keyring-daemon[3140]: create_credential: assertion `GCK_IS_SESSION (session)' failed
Oct 29 21:04:09 ubuntu gnome-keyring-daemon[3140]: egg_error_message: assertion `error' failed
Oct 29 21:04:09 ubuntu gnome-keyring-daemon[3140]: couldn't create new login credential: (unknown)
Oct 29 21:04:09 ubuntu passwd[3136]: gkr-pam: couldn't change password for the login keyring: the passwords didn't match.
Oct 29 21:04:09 ubuntu passwd[3136]: pam_ecryptfs: Passphrase file wrapped
Oct 29 21:04:10 ubuntu passwd[3143]: Error attempting to open [/home/rutbuntu/.ecryptfs/wrapped-passphrase] for reading
Oct 29 21:04:10 ubuntu passwd[3143]: pam_ecryptfs: Error attempting to unwrap passphrase; rc = [-5]
Oct 29 21:04:21 ubuntu polkitd(authority=local): Operator of unix-session:/org/freedesktop/ConsoleKit/Session2 successfully authenticated as unix-user:rutbuntu to gain TEMPORARY authorization for action org.freedesktop.accounts.user-administration for unix-process:3096:15768 [gnome-control-center --overview] (owned by unix-user:rutbuntu)
Oct 29 21:04:24 ubuntu accounts-daemon: request by system-bus-name::1.59 [gnome-control-center --overview pid:3096 uid:1000]: enable automatic login for user 'rutbuntu' (1000)
Oct 29 21:04:29 ubuntu accounts-daemon: request by system-bus-name::1.59 [gnome-control-center --overview pid:3096 uid:1000]: disable automatic login for user 'rutbuntu' (1000)

Снова замена пароля у пользователя rutbuntu и затем разрешение/запрет на автоматический вход для него.

Надо смотреть:

/etc/nsswitch.conf
/etc/pam.d/common-account
/etc/pam.d/common-auth
/etc/pam.d/common-password
/etc/pam.d/common-session
/etc/pam.d/common-session-noninteractive

/etc/pam.d/su
/etc/pam.d/sudo
/etc/pam.d/lightdm
/etc/pam.d/lightdm-autologin

UPD: А вообще, на мой взгляд, кто-то шутит над Вами. Причем у Вас порушен pam. (возможно, я ошибаюсь)

[БТР]

Шкипер, а можно ещё списочек

Код: [Выделить]

dpkg -l > packages.txt

[Sly_tom_cat]

Пароль пользователя можно сменить загрузившись в рекавери мод (там можно без пароля вывалится в рутовую консоль) или даже загрузившись с LiveCD/USB. Но судя по логам - ломатель так и не смог вытащить парольную фразу из кейринга для зашифрованного хомяка (хотя и пытался). Так что пока можно быть спокойным - хакер еще не добрался до вашего пароля под которым открывается кейринг для выдачи парольной фразы от хомяка. Но кто-то упорно ломится, следы заметает неграматно - и в логах оставил свою деятельность и пароль не смог старый восстановить после того как попытался с измененным пробиться к хомяку (хотя - восстановить пароль - в принципе просто, даже не зная его).

Теперь что бы я сделал...
Во первых - убрать рекавери мод или повесить пароль на его загрузку - как паролить груб - есть много статей в интеренете - это не очень сложно. Да, даже с убранным рекавери - пароль на груб навесить надо иначе этот рекавери легко вызвать из редакторара или командной строки груба.
Во-вторых - убрать в биосе загрузку с внешних устройств и поставить на биос пароль. Его конечно легко сбросить, на десктопе (на десктопе при физическом доступе к материнской плате, на ноуте - это не так то просто сделать).
Ну, а если надо поймать за руку - то небольшой замаскированный регистратор - поможет - можно поспрашивать у знакомых автовладельцев - сейчас это довольно модная штука да и купить можно не дорого, мало ли еще пригодится....

[ArcFi]

Oct 29 21:04:09 ubuntu passwd[3136]: pam_unix(passwd:chauthtok): password changed for rutbuntu

Теперь пусть ТС разбирается у кого был доступ к компу в это время.

[Шкипер]

Спасибо всем, кто отвечал. Работа очень нагрузила и комп стоял больше месяца не включаясь. Тут время появилось и дошли руки до компа.
Сделал глупость, решил переустановить lightDM т.к. он упорно отказывался запрашивать пароль для входа в мою учетку. Не помогло.
Тогда снес lightDM и поставил GDM. Но он по каким то причинам не захотел запускаться. Опять поставил lightDM и на это все и закончилось.
Теперь даже не доходит до lightDM. При запуске система сообщает о том, что не найден диск UUID с длинным названием (но не хомяк). Потом сообщает об ошибке на разделе /home, пытается восстановить и все, виснет.
В fstab прописаны только / , /home и swap.
Как теперь это исправить?

[Sly_tom_cat]

Шкипер, это уже совсем другая проблема, к начальной не имеющая никакого отношения. Лучше создать новую тему.

Пробуйтесь грузить в рекавери мод и оттуда(из консоли администратора) покажите (можно в новой теме) вывод :

Код: [Выделить]

blkid
cat /etc/fstabЕсли не поможет рекавери - грузитесь с liveCD/USB и показывайте fstab c локального дика и вывод blkid.

[Шкипер]

Не буду создавать новую тему. Просто возьму и переустановлю. А то уже и груб загнулся.
Пользователь решил продолжить мысль 08 Декабря 2012, 23:42:17:Нет, не буду переустанавливать, удалось все восстановить.
Ну, почти все.
Но lightdm упорно не хочет спрашивать пароль на входе. Поставил gdm и с ним та же самая ситуация - не спрашивает пароль. Что сделать?