मैं su कमांड के साथ रूट के रूप में लॉगिन नहीं कर सकता, लेकिन मैं SSH के साथ कर सकता हूं

यह कैसे संभव है कि मैं ( su rootया suमुझे गलत पासवर्ड त्रुटि) के रूप में लॉग इन नहीं कर सकता , लेकिन मैं उसी पासवर्ड से ssh root@localhostया उसके ssh root@my_local_IPसाथ लॉग इन कर सकता हूं ?

मैं CentOS 6.4 का उपयोग कर रहा हूं।

अपडेट 1 :

cat /etc/pam.d/su

देता है:

#%PAM-1.0
auth        sufficient  pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth       sufficient  pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth       required    pam_wheel.so use_uid
auth        include     system-auth
account     sufficient  pam_succeed_if.so uid = 0 use_uid quiet
account     include     system-auth
password    include     system-auth
session     include     system-auth
session     optional    pam_xauth.so

अपडेट 2 :

$ sudo grep su /var/log/secure | grep -v sudo

देता है:

Feb 23 13:12:17 fallah su: pam_unix(su:auth): authentication failure;
logname=fallah uid=501 euid=501 tty=pts/0 ruser=fallah rhost=  user=root

लगभग 20 बार दोहराया।

अपनी टिप्पणी में, आपने कहा कि /bin/suनिम्नलिखित मोड / स्वामी हैं:

-rwxrwxrwx. 1 root root 30092 Jun 22 2012 /bin/su

यहां पर दो समस्याएं हैं।

• इसे सेट-यूड बिट चालू करने की आवश्यकता है, ताकि यह हमेशा रूट अनुमतियों के साथ चले, अन्यथा जब कोई साधारण (गैर-रूट) उपयोगकर्ता इसे चलाता है, तो इसमें पासवर्ड जानकारी तक पहुंच नहीं होगी /etc/shadowऔर न ही सेट करने की क्षमता वांछित नए उपयोगकर्ता के लिए userid।

• इसे बिट्स को लिखना groupऔर otherबंद करना चाहिए , ताकि अन्य उपयोगकर्ता इसे बदल न सकें।

इसे ठीक करने के लिए, लॉगिन करें root- आपने कहा कि आप ऐसा कर सकते हैं ssh- और टाइप करें

chmod 4755 /bin/su

या, वैकल्पिक रूप से,

chmod u+s,g-w,o-w /bin/su

( Chmod के लिए मानक दस्तावेज़ इस बारे में अधिक विवरण में जाता है कि यह किस प्रकार के तर्क लेता है।) यह मोड बिट्स को उस तरह से पुनर्स्थापित करेगा, जब वे ऑपरेटिंग सिस्टम पहली बार स्थापित किए गए थे। जब आप इस फ़ाइल को सूचीबद्ध करते हैं, तो इसे इस तरह देखना चाहिए:

-rwsr-xr-x. 1 root root 30092 Jun 22 2012 /bin/su

जैसा कि @ G-Man ने उल्लेख किया है कि, 777 मोड वाली फाइलें अविश्वसनीय उपयोगकर्ताओं द्वारा अधिलेखित की जा सकती हैं, और यदि ऐसा है, तो आप उन्हें वितरण माध्यम या बैकअप से पुनर्स्थापित करना चाह सकते हैं।

1. पहिया समूह?

यह संभावना है क्योंकि आपका उपयोग wheelसमूह में नहीं है । Red Hat डिस्ट्रोस पर आप स्पष्ट रूप से उन उपयोगकर्ताओं को हटा सकते हैं जो इस समूह में suकमांड चलाने से नहीं हैं ।

यहां suPAM कॉन्फ़िगरेशन डिफ़ॉल्ट रूप से कैसा दिखता है:

$ more /etc/pam.d/su
#%PAM-1.0
auth        sufficient  pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth       sufficient  pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth       required    pam_wheel.so use_uid
auth        include     system-auth
account     sufficient  pam_succeed_if.so uid = 0 use_uid quiet
account     include     system-auth
password    include     system-auth
session     include     system-auth
session     optional    pam_xauth.so

यह पंक्ति समूह suमें उपयोगकर्ताओं के लिए कमांड तक पहुंच को सीमित कर सकती है wheel:

auth        required    pam_wheel.so use_uid

इसकी ध्वनि से यह सक्षम है और आपके उपयोगकर्ता को suकमांड संचालित करने की अनुमति नहीं है ।

SSH काम करता है क्योंकि यह एक अलग PAM तंत्र के माध्यम से जाता है। SSH के पास रूट लॉगिन तक पहुँच को सीमित करने के लिए भी अपनी सुविधाएं हैं। रूट लॉगिन आमतौर पर डिफ़ॉल्ट रूप से अनुमत होता है, कम से कम Red Hat डिस्ट्रोस के अधिकांश पर:

$ sudo grep PermitRoot /etc/ssh/sshd_config 
#PermitRootLogin yes
# the setting of "PermitRootLogin without-password".

भले ही ऊपर टिप्पणी की गई है, यह डिफ़ॉल्ट है, और यह है कि ओपनएसएसएच कैसे दिखाता है कि यह कॉन्फ़िगरेशन में डिफ़ॉल्ट सेटिंग है।

यदि आपका सिस्टम इस तरह कॉन्फ़िगर किया गया है, तो आप अपने उपयोगकर्ता नाम को wheelसमूह में जोड़ सकते हैं ।

$ useradd -G wheel saml

लॉग आउट करने और वापस करने के बाद:

$ groups
saml wheel

नोट: मेरा उपयोगकर्ता नाम ऊपर "saml" है।

2. अनुमतियाँ सु पर?

जाँच करें कि निष्पादन योग्य जड़ के स्वामित्व में है।

$ type -a su
su is /usr/bin/su
su is /bin/su

$ ls -l /usr/bin/su /bin/su
-rwsr-xr-x. 1 root root 32064 Jan 13 06:31 /bin/su
-rwsr-xr-x. 1 root root 32064 Jan 13 06:31 /usr/bin/su

यह भी पुष्टि करें कि निष्पादनों में उनके sबिट्स सक्षम हैं। यह उन्हें सेतुहीन बनाता है, ताकि जब वे निष्पादित हों तो वे अपने स्वयं के, जड़ के रूप में चलें।

3. लॉग क्या कहते हैं?

जब आप su -कमांड करने का प्रयास करते हैं तो आपको प्रयास के /var/log/secureबारे में प्रविष्टियों को देखना चाहिए ।

$ sudo grep su /var/log/secure | grep -v sudo
Feb 23 23:31:26 greeneggs su: pam_unix(su-l:session): session opened for user root by saml(uid=0)
Feb 24 00:27:32 greeneggs su: pam_unix(su-l:session): session closed for user root
Feb 24 01:34:12 greeneggs su: pam_unix(su-l:session): session opened for user root by saml(uid=1000)
Feb 24 01:34:26 greeneggs su: pam_unix(su-l:session): session closed for user root

यह देखने के लिए लॉग इन करें कि क्या आपको कोई अतिरिक्त जानकारी मिलती है।

4. क्या आप सुनिश्चित हैं कि पासवर्ड समस्या नहीं है?

जब मैं इसका उपयोग करके लॉगिन करने का प्रयास करता su -हूं, तो जब मैं इसे गलत पासवर्ड देता हूं, तो मुझे निम्नलिखित मिलते हैं:

$ su -
Password: 
su: Authentication failure
$

मैं एक और खाता बनाने की कोशिश करूंगा और यह देखूंगा कि क्या यह द्वितीयक खाता su -सफलतापूर्वक चल सकता है ।

अगर आपको इस तरह का एरर मैसेज मिल रहा है

su: PAM adding faulty module: /lib64/security/pam_tally.so
su: PAM unable to dlopen(/lib64/security/pam_tally.so): /lib64/security/pam_tally.so: cannot open shared object file: No such file or directory

इस चरण को करें:

ln -s /lib64/security/pam_tally2.so /lib64/security/pam_tally.so

फिर सु की कोशिश करो। यह काम करना चाहिए।