Ахтунг! Безопасность!!! Проходит логин с неправильным паролем!

[zav]

Уважаемый автор топика! Снимите Ваши действия с помощью xvidcap. Хочу увидеть собственными глазами

Всем.

Общее:
1) Я работаю уже неделю под этим логином. Создавал его когда устанавливал с LiveCD. А не потом, тем более adduser.
2) Не хочу оправдываться, что я не шучу или нечто подобное.
3) Готов к любым действиям. Больно уж эффект хреновый.

Между делом:
4) Эксперимент надо уметь поставить! А как видео сделать, чтобы было видно КАКОЙ я пароль набираю? Фигатам. В принципе, если сначала набрать маленький, который не пройдет, потом набрать средний, который пройдет, зайти, а потом сразу выйти и набрать большой и зайти - все под одним логином. Сойдет?
Пользователь решил продолжить мысль: 18 Марта 2009, 12:07:36Кстати, кто тут пробывал, сделали пробел в пароле? Логин с тремя буквами?

(P.S. А где версию "аутентификатора" ;-) посмотреть?)

[zilog82]

насчет xvidcap я пошутил.
а вот /var/log/auth.log выложить было бы неплохо

[Saha]

Эксперимент надо уметь поставить! А как видео сделать, чтобы было видно КАКОЙ я пароль набираю? Фигатам. В принципе, если сначала набрать маленький, который не пройдет, потом набрать средний, который пройдет, зайти, а потом сразу выйти и набрать большой и зайти - все под одним логином. Сойдет?

сойдет =)

[zav]

Ха-ха... новые данные.

Пошел в "Установку/удаление программ" поставить xvidcap. Ставлю, просит пароль - дай думаю я и ему короткий дам. Сработало! Это видимо системно. ;-)

[zilog82]

Пошел в "Установку/удаление программ" поставить xvidcap. Ставлю, просит пароль - дай думаю я и ему короткий дам. Сработало! Это видимо системно. ;-)

Вы в какой оси работаете?  "Установку/удаление программ" - попахивает вендой 

[ziablik]

Вы в какой оси работаете?  "Установку/удаление программ" - попахивает вендой 

попробуй нажать на кнопку меню - видишь пункт установка и удаление... приложений? GNOME.

[zav]

а вот /var/log/auth.log выложить было бы неплохо

ДА-С... ну хоть радует, что ругается...
Вообщем в файлах auth.log все стер, перезагрузился.

1) Попытался как zav с коротким паролем до пробела. Не зашел. Красная строка что-то там про проверьте кодировку...
2) Попытался как zav со средним. Зашел.
3) Вышел.
4) Попытался как zav с паролем который должен быть. Зашел.

Лог:

(Нажмите, чтобы показать/скрыть)

Mar 18 14:30:30 ws2410 gdm[5010]: pam_unix(gdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost=  user=zav
Mar 18 14:30:42 ws2410 gdm[5010]: pam_unix(gdm:session): session opened for user zav by (uid=0)
Mar 18 14:30:42 ws2410 gdm[5010]: pam_ck_connector(gdm:session): nox11 mode, ignoring PAM_TTY :0
Mar 18 14:30:42 ws2410 gdm[5010]: gnome-keyring-daemon: couldn't lookup keyring component setting: Сбой при контакте с сервером конфигурации; среди возможных причин то, что необходимо включить сетевые возможности TCP/IP для ORBit, или то, что остались старые блокировки NFS из-за краха системы. Для получения информации смотрите http://www.gnome.org/projects/gconf/ . (Подробно -  1: Не удалось подсоединиться к сеансу: dbus-launch failed to autolaunch D-Bus session: No protocol specified
Mar 18 14:30:42 ws2410 gdm[5010]: Autolaunch error: X11 initialization failed.
Mar 18 14:30:42 ws2410 gdm[5010]: )gnome-keyring-daemon: couldn't lookup ssh component setting: Сбой при контакте с сервером конфигурации; среди возможных причин то, что необходимо включить сетевые возможности TCP/IP для ORBit, или то, что остались старые блокировки NFS из-за краха системы. Для получения информации смотрите http://www.gnome.org/projects/gconf/ . (Подробно -  1: Не удалось подсоединиться к сеансу: dbus-launch failed to autolaunch D-Bus session: No protocol specified
Mar 18 14:30:42 ws2410 gdm[5010]: Autolaunch error: X11 initialization failed.
Mar 18 14:30:42 ws2410 gdm[5010]: )gnome-keyring-daemon: couldn't lookup pkcs11 component setting: Сбой при контакте с сервером конфигурации; среди возможных причин то, что необходимо включить сетевые возможности TCP/IP для ORBit, или то, что остались старые блокировки NFS из-за краха системы. Для получения информации смотрите http://www.gnome.org/projects/gconf/ . (Подробно -  1: Не удалось подсоединиться к сеансу: dbus-launch failed to autolaunch D-Bus session: No protocol specified
Mar 18 14:30:42 ws2410 gdm[5010]: Autolaunch error: X11 initialization failed.
Mar 18 14:30:42 ws2410 gdm[5010]: )
Mar 18 14:30:42 ws2410 gnome-keyring-daemon[5217]: Couldn't unlock login keyring with provided password
Mar 18 14:30:42 ws2410 gnome-keyring-daemon[5217]: Failed to unlock login on startup
Mar 18 14:31:20 ws2410 gdm[5010]: pam_unix(gdm:session): session closed for user zav
Mar 18 14:31:31 ws2410 gdm[5010]: pam_unix(gdm:session): session opened for user zav by (uid=0)
Mar 18 14:31:31 ws2410 gdm[5010]: pam_ck_connector(gdm:session): nox11 mode, ignoring PAM_TTY :0
Mar 18 14:31:31 ws2410 gdm[5010]: gnome-keyring-daemon: couldn't lookup keyring component setting: Сбой при контакте с сервером конфигурации; среди возможных причин то, что необходимо включить сетевые возможности TCP/IP для ORBit, или то, что остались старые блокировки NFS из-за краха системы. Для получения информации смотрите http://www.gnome.org/projects/gconf/ . (Подробно -  1: Не удалось подсоединиться к сеансу: dbus-launch failed to autolaunch D-Bus session: No protocol specified
Mar 18 14:31:31 ws2410 gdm[5010]: Autolaunch error: X11 initialization failed.
Mar 18 14:31:31 ws2410 gdm[5010]: )gnome-keyring-daemon: couldn't lookup ssh component setting: Сбой при контакте с сервером конфигурации; среди возможных причин то, что необходимо включить сетевые возможности TCP/IP для ORBit, или то, что остались старые блокировки NFS из-за краха системы. Для получения информации смотрите http://www.gnome.org/projects/gconf/ . (Подробно -  1: Не удалось подсоединиться к сеансу: dbus-launch failed to autolaunch D-Bus session: No protocol specified
Mar 18 14:31:31 ws2410 gdm[5010]: Autolaunch error: X11 initialization failed.
Mar 18 14:31:31 ws2410 gdm[5010]: )gnome-keyring-daemon: couldn't lookup pkcs11 component setting: Сбой при контакте с сервером конфигурации; среди возможных причин то, что необходимо включить сетевые возможности TCP/IP для ORBit, или то, что остались старые блокировки NFS из-за краха системы. Для получения информации смотрите http://www.gnome.org/projects/gconf/ . (Подробно -  1: Не удалось подсоединиться к сеансу: dbus-launch failed to autolaunch D-Bus session: No protocol specified
Mar 18 14:31:31 ws2410 gdm[5010]: Autolaunch error: X11 initialization failed.
Mar 18 14:31:31 ws2410 gdm[5010]: )

Ну так ругаться и при этом таки с маленьким паролем не пускать и вообще работать - это круто...

Что скажите, товарищи? Я лично мало что понимаю что за хрень...

Пользователь решил продолжить мысль: 18 Марта 2009, 12:40:50

Вы в какой оси работаете?  "Установку/удаление программ" - попахивает вендой 

Все мы оттуда. 8-) "Установку/удаление программ" - приложений, приложений...

К делу не относится, все поняли.

[ArcFi]

(Нажмите, чтобы показать/скрыть)

arcfi@arcfi-laptop:~$ sudo adduser tmp
[sudo] password for arcfi:
Adding user `tmp' ...
Adding new group `tmp' (1001) ...
Adding new user `tmp' (1001) with group `tmp' ...
Creating home directory `/home/tmp' ...
Copying files from `/etc/skel' ...
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Changing the user information for tmp
Enter the new value, or press ENTER for the default
   Full Name []:
   Room Number []:
   Work Phone []:
   Home Phone []:
   Other []:
Is the information correct? [Y/n]

arcfi@arcfi-laptop:~$ sshpass -p "123456 890123" ssh tmp@localhost
Linux arcfi-laptop 2.6.28-10-generic #32-Ubuntu SMP Mon Mar 16 02:49:09 UTC 2009 i686

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

To access official Ubuntu documentation, please visit:
http://help.ubuntu.com/

tmp@arcfi-laptop:~$ logout
Connection to localhost closed.

arcfi@arcfi-laptop:~$ sshpass -p "123456 8" ssh tmp@localhost
Permission denied, please try again.
arcfi@arcfi-laptop:~$

unconfirmed

upd
https://forum.ubuntu.ru/index.php?topic=51678.msg380197#msg380197

[zav]

unconfirmed

Интересно, конечно... а у меня вот что вышло...

(Нажмите, чтобы показать/скрыть)

zav@ws2410:~$ sudo adduser tmp
[sudo] password for zav:
Добавляется пользователь `tmp' ...
Добавляется новая группа `tmp' (1001) ...
Добавляется новый пользователь `tmp' (1001) в группу `tmp' ...
Создаётся домашний каталог `/home/tmp' ...
Копирование файлов из `/etc/skel' ...
Введите новый пароль UNIX:
Повторите новый пароль UNIX:
passwd: пароль успешно обновлён
Изменение информации о пользователе tmp
Введите новое значение или нажмите ВВОД для выбора значения по умолчанию
   Полное имя []:
   Номер комнаты []:
   Рабочий телефон []:
   Домашний телефон []:
   Другое []:
Эта информация верна? [Д/н] y
zav@ws2410:~$ sshpass -p "123456 890123" ssh tmp@localhost
Программа 'sshpass' на данный момент не установлена.  Вы можете установить ее, напечатав:
sudo apt-get install sshpass
bash: sshpass: команда не найдена

Наводит может на какие-то мысли общественность?

Я не спешу чего-то там устанавливать пока - может конечно и чего-то нет нужного, но почему так работает-то? Пароль то маленький не проходит - значит авторизация худо-бедно есть. Так?

Кстати, проверил в соседней сессии - новый пользователь tmp с паролем "123456 890123" не заходит с укороченным "123456 8" по аналогии. Слушайте, ну у меня такой пароль, что не мог я ошибиться никак. Может быть дело в цифрах? У меня реальный то пароль другой, простоя тут его так описал как он выглядит...

Вообщем, у меня и графическом режиме такой финт не подтверждается с новым tmp... вообще странно...

[axe]

наводит на мысль, что sshpass не установлен

покажи

Код: [Выделить]

ls /etc/pam.d/,

Код: [Выделить]

cat /etc/pam.d/gdm,

Код: [Выделить]

cat /etc/pam.d/login
проблема, очевидно, в модулях PAM.

[zav]

наводит на мысль, что sshpass не установлен

Логично. 8-)

Вот то что вы просили...

(Нажмите, чтобы показать/скрыть)

zav@ws2410:~$ ls /etc/pam.d/
atd   common-account   common-session  gdm                login   polkit  su
chfn  common-auth      cron            gdm-autologin      other   ppp     sudo
chsh  common-password  cups            gnome-screensaver  passwd  samba
zav@ws2410:~$ cat /etc/pam.d/gdm
#%PAM-1.0
auth    requisite       pam_nologin.so
auth    required        pam_env.so readenv=1
auth    required        pam_env.so readenv=1 envfile=/etc/default/locale
@include common-auth
auth    optional        pam_gnome_keyring.so
@include common-account
session required        pam_limits.so
@include common-session
session optional        pam_gnome_keyring.so auto_start
@include common-password
zav@ws2410:~$ cat /etc/pam.d/login
#
# The PAM configuration file for the Shadow `login' service
#

# Outputs an issue file prior to each login prompt (Replaces the
# ISSUE_FILE option from login.defs). Uncomment for use
# auth       required   pam_issue.so issue=/etc/issue

# Disallows root logins except on tty's listed in /etc/securetty
# (Replaces the `CONSOLE' setting from login.defs)
auth       requisite  pam_securetty.so

# Disallows other than root logins when /etc/nologin exists
# (Replaces the `NOLOGINS_FILE' option from login.defs)
auth       requisite  pam_nologin.so

# SELinux needs to be the first session rule. This ensures that any
# lingering context has been cleared. Without out this it is possible
# that a module could execute code in the wrong domain.  (When SELinux
# is disabled, this returns success.)
session    required   pam_selinux.so close

# This module parses environment configuration file(s)
# and also allows you to use an extended config
# file /etc/security/pam_env.conf.
#
# parsing /etc/environment needs "readenv=1"
session       required   pam_env.so readenv=1
# locale variables are also kept into /etc/default/locale in etch
# reading this file *in addition to /etc/environment* does not hurt
session       required   pam_env.so readenv=1 envfile=/etc/default/locale

# Standard Un*x authentication.
@include common-auth

# This allows certain extra groups to be granted to a user
# based on things like time of day, tty, service, and user.
# Please edit /etc/security/group.conf to fit your needs
# (Replaces the `CONSOLE_GROUPS' option in login.defs)
auth       optional   pam_group.so

# Uncomment and edit /etc/security/time.conf if you need to set
# time restrainst on logins.
# (Replaces the `PORTTIME_CHECKS_ENAB' option from login.defs
# as well as /etc/porttime)
# account    requisite  pam_time.so

# Uncomment and edit /etc/security/access.conf if you need to
# set access limits.
# (Replaces /etc/login.access file)
# account  required       pam_access.so

# Sets up user limits according to /etc/security/limits.conf
# (Replaces the use of /etc/limits in old login)
session    required   pam_limits.so

# Prints the last login info upon succesful login
# (Replaces the `LASTLOG_ENAB' option from login.defs)
session    optional   pam_lastlog.so

# Prints the motd upon succesful login
# (Replaces the `MOTD_FILE' option in login.defs)
session    optional   pam_motd.so

# Prints the status of the user's mailbox upon succesful login
# (Replaces the `MAIL_CHECK_ENAB' option from login.defs).
#
# This also defines the MAIL environment variable
# However, userdel also needs MAIL_DIR and MAIL_FILE variables
# in /etc/login.defs to make sure that removing a user
# also removes the user's mail spool file.
# See comments in /etc/login.defs
session    optional   pam_mail.so standard

# Standard Un*x account and session
@include common-account
@include common-session
@include common-password

# SELinux needs to intervene at login time to ensure that the process
# starts in the proper default security context. Only sessions which are
# intended to run in the user's context should be run after this.  (When
# SELinux is disabled, this returns success.)
session required pam_selinux.so open

И чтобы это значило?

ВСЕМ

А что? Может все таки сделать так как писал товарищ ArcFi, установить "aptitude install sshpass ssh"? А вдруг эффект пропадет?

[axe]

1. Восппроизводится ли проблема при логине не из GDM, а из консоли (не эмулятора терминала, а настоящей консоли на Ctrl+Alt+F1-..)? Если воспроизводится, то покажи auth.log при таком логине.

2. Правильно ли я понимаю, что проблема не вопроизводится для другого юзера, а только для того, который был создан при установке? Если да, то на всякий случй покажи для него вывод

Код: [Выделить]

id

[zav]

Ситуация проясняется чуть-чуть.

Сменил пароль на созданный в прошлых экспериментах пользователя tmp. Поставил такой же пароль как у zav.

Не логинится никак кроме реального пароля. Как в прочем и должно быть.

Я так подозреваю, дело может произрастать корнями из LiveCD и его установке на диск. Там я своего пользователя zav вводил.

[kss]

Попробуй повторить этот фокус с другим паролем с пробелом (то есть смени пароль на другой, но сделанный по такой же схеме). Предполагаю, что дело в том, что (если я не ошибаюсь) в системе сам пароль нигде не хранится (в целях безопасности), а для проверки подлинности введённого пароля сравниваются их хеши. Вот у тебя могла случайно выпасть ситуация, что хеш от неполного пароля равен хешу от полного. Если я прав, то вряд ли ситуация повторится при смене пароля (очень маловероятно это).

[ArcFi]

1. Восппроизводится ли проблема при логине не из GDM, а из консоли (не эмулятора терминала, а настоящей консоли на Ctrl+Alt+F1-..)?

https://forum.ubuntu.ru/index.php?topic=51678.msg380069#msg380069