pam_unix(su:auth): authentication failure
-
@blubby sagte in pam_unix(su:auth): authentication failure:
Muss man hier irgendwie systemseitig noch Dinge wie su oder irgendwelche Gruppenberechtigungen für iobroker-User anlegen?
auf keinen Fall!
das würde das gesamte Rechtegefüge von ioBroker aushebeln können.iob soll nie als root installiert oder gestartet werden, ebenso niemals iob...dosomething Befehle niemals mit sudo einleiten.
-
@blubby
Zum testen:
Als User mal
sudo whoami -
@thomas-braun said in pam_unix(su:auth): authentication failure:
sudo whoami
➜ ~ sudo whoami root ➜ ~ whoami pi -
@blubby
Vollständige Ein- und Ausgaben inkl des LoginPrompts bitte
-
@thomas-braun
ich weiß deine Bemühungen zu schätzen, aber vollständiger wird's hier nicht...
Wenn du nach sudo whoami fragst und ich damit (s.o.) antworte.LoginPrompt? von meiner SSH Sitzung oder was? nee, sorry.
-
@blubby
Dann halt nicht...
Wenn du aber ein Thema mit den Usern und deren Rechten hast muss ich sehen, mit welchem User du da hantierst.
-
ich versteh halt nicht warum das login Prompt von Bedeutung sein soll. aber gut
~ ssh pi@pi5 Linux pi5 6.6.63-v8-16k+ #1824 SMP PREEMPT Tue Dec 3 13:01:07 GMT 2024 aarch64 The programs included with the Debian GNU/Linux system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law. Last login: Wed Jan 8 14:30:58 2025 from 192.168.178.93 -
@blubby Das ist nicht das LogIn-Prompt...
Das LoginPrompt ist
user@host:~ $Also die vollständige Eingabezeile.
-
ja dann noch mal sorry, aber wie oben schon beschrieben, vollständiger wird es nicht.
➜ ~wenn es dir hilft, hänge ich einen Screenshot an. Aber bei mir zeigt es nun mal ➜ ~ an. Verkürzte Darstellung. Der user ist pi, der host ist pi5.
führe ich als user pi den Befehl sudo whoami aus, dann kommt als Ergebnis wie oben gepostet: root
hier noch mal:➜ ~ sudo whoami root ➜ ~ whoami piUm was geht es hier bitte? Ob ich mich als root eingeloggt hab um das zu installieren? Nein, natürlich nicht. Ich kann ja lesen. Außerdem ist der root user beim Raspberry standardmäßig nicht für den ssh login aktiviert.
-
@blubby sagte in pam_unix(su:auth): authentication failure:
Ich kann ja lesen.
dann hast du ja auch sicherlich gekesen, dass man im prompt sieht, ob man im falschen Verzeichnis steht
-
@blubby sagte in pam_unix(su:auth): authentication failure:
Um was geht es hier bitte?
Es geht darum, welcher user da nicht richtig über pam authentifiziert werden kann.
Mir ist das aber eigentlich auch zu blöde.
Bin dann raus, wenn du eh alles besser weißt. -
@Homoran
und was ist das richtige / falsche Verzeichnis? von was? in welchem Kontext? Was hat bitte ein LoginPrompt oder ein Verzeichnis mit dem system.d service iobroker.service zu tun, der nicht sauber hoch fährt?Da fühle ich mich jetzt nicht wirklich ernst genommen.
-
@thomas-braun said in pam_unix(su:auth): authentication failure:
Es geht darum, welcher user da nicht richtig über pam authentifiziert werden kann.
na das steht doch im log vom iobroker.service, siehe oben.
Auf dem System gibts die User
iobroker (vom Skript angelegt)
pi (vom OS angelegt)
root (ebenso)LOG
Jan 08 14:36:22 pi5 su[1541]: pam_unix(su:auth): authentication failure; logname= uid=1001 euid=0 tty= ruser=iobroker rhost= user=root Jan 08 14:36:23 pi5 sudo[1559]: iobroker : PWD=/ ; USER=root ; COMMAND=/usr/bin/apt -v Jan 08 14:36:23 pi5 sudo[1559]: pam_unix(sudo:session): session opened for user root(uid=0) by (uid=1001) Jan 08 14:36:23 pi5 sudo[1559]: pam_unix(sudo:session): session closed for user root Jan 08 14:36:23 pi5 sudo[1564]: iobroker : PWD=/ ; USER=root ; COMMAND=/usr/bin/apt list --upgradeable Jan 08 14:36:23 pi5 sudo[1564]: pam_unix(sudo:session): session opened for user root(uid=0) by (uid=1001) an 08 14:36:24 pi5 sudo[1564]: pam_unix(sudo:session): session closed for user root Jan 08 14:36:25 pi5 su[1541]: FAILED SU (to root) iobroker on none Jan 08 14:36:25 pi5 su[1575]: pam_unix(su:auth): authentication failure; logname= uid=1001 euid=0 tty= ruser=iobroker rhost= user=root Jan 08 14:36:27 pi5 su[1575]: FAILED SU (to root) iobroker on none Jan 08 14:36:28 pi5 su[1592]: pam_unix(su:auth): authentication failure; logname= uid=1001 euid=0 tty= ruser=iobroker rhost= user=pi Jan 08 14:36:30 pi5 su[1592]: FAILED SU (to pi) iobroker on none Jan 08 14:36:31 pi5 su[1608]: pam_unix(su:auth): authentication failure; logname= uid=1001 euid=0 tty= ruser=iobroker rhost= user=pi Jan 08 14:36:33 pi5 su[1608]: FAILED SU (to pi) iobroker on none -
@blubby
Was ist denn bei dir im System noch alles modifiziert, wenn schon der prompt nicht vollständig ist? -
@homoran sagte in pam_unix(su:auth): authentication failure:
wenn schon der prompt nicht vollständig ist?
Das liegt am lokal verwendeten Terminal. Die Darstellung kann ja angepasst werden. Machen aber die meisten user nicht.
-
@blubby sagte in pam_unix(su:auth): authentication failure:
na das steht doch im log vom iobroker.service, siehe oben.
Der Service wird aber gestartet:
*** FAILED SERVICES *** UNIT LOAD ACTIVE SUB DESCRIPTION 0 loaded units listed. -
hier läuft einfach nur eine zsh. daher ist der Prompt modifiziert. https://ohmyz.sh/
Ansonsten: ein Reverse Proxy (caddy), Authelia, eine statische Webseite, zwei Instanzen von VTT (nodeJS). das war es glaube ich.
-
@blubby
naja, trotzdem danke, für die Versuche Hilfe zu leisten. (Leider habe ich nur gelernt, dass Leute mit einer anderen Shell oder einem anderen Prompt gleich für doof gehalten werden.)
Vielleicht hätte ich es anders formulieren sollen, ich versuche es zum Abschluss vom Thema mal:
Der Service startet nicht richtig. Im Sinne von fehlerfrei. Es kommen Fehler im LOG vom iobroker.service.Ist das normal? Muss mir das Sorgen bereiten?
Kann man hier optimieren? Müsste man dafür ggfs. ein Bug ticket irgendwo aufmachen?Danke noch mal, ich wünsche allen noch ein frohes neues Jahr.
-
@blubby sagte in pam_unix(su:auth): authentication failure:
Der Service startet nicht richtig.
bis herauskam welcher Service hat es allerdings etwas gedauert.
und wie @Thomas-Braun schrieb läuft dieser.
oder meinst du den js-controllerHier wird auch niemand für doof gehalten, aber so etwas erschwert den Helferlein das helfen.
Du weisst warum es bei dir anders aussieht, wir erst auf Nachfrage
-
@blubby sagte in pam_unix(su:auth): authentication failure:
Der Service startet nicht richtig.
Wie startet er denn?
systemctl --no-pager status iobroker.serviceVollständig, nicht nur Auszüge davon.
Zu zsh nur soviel: Die skripte beim iobroker verwenden bash (Zumindest die von mir geschriebenen 'iob diag' wie 'iob nodejs-update'-Skripte.
Könnte sein, das es da mit deiner zsh zu Schluckauf kommt. Getestet wurden andere shells wohl eher nicht.
