Почему перестала работать команда su в Debian 8?

Question

[Sinot]

Приветствую.
Собственно в какой-то момент времени перестала работать команда su. При попытке ее вызвать появляется сообщение "su: Доступ запрещен", даже пароль не спрашивает.
Пробовал вызывать по всякому: и, "su username", и "su", и "su root", и от рута, и от обычного пользователя. Вездне одно и тоже.

Поиск в интернете дает кучу ссылок на холивары "su vs sudo" и предложение проверить uid бит для /bin/su (впорядке, 4755). /etc/pam.d/su тоже вроде впорядке.

Подскажите что делать, куда копать?

Спасибо.

Answer 1

[Сергей Н]

Если SUID-bit в порядке, копайте настройки PAM по каждому модулю в отдельности. Для большинства можно включить debug в параметрах и получить отладочный вывод. Подробности читайте в man pam_имямодуля.
Может стоять, например, проверка шелла, тогда убедитесь, что шелл пользователя верный, запускается и перечислен в /etc/shells. Убедитесь, что пользователь верно прописан в /etc/passwd и /etc/shadow, и состоит в нужных группах. Убедитесь, что есть сами модули pam. Запустите su через strace и посмотрите, на каком месте он останавливается.

Comments

[Sinot]

Хм... Вывод strace получил. /etc/shells, /etc/passwd и /etc/shadow вроде впорядке. А вот с модулями пока не разобрался.

Ситуация возможно усугубляется тем, что машина введена в домен Windows и настроена авторизация пользователей домена на машине (samba, winbind).

Собственно сначала перстал работать su, после перезагрузки при логине тут же возвращало обратно на экран ввода логина/пароля. Такая ерунда у меня была когда-то, помогла установка приоритетов в /etc/rc{2-5}.d/S{в 99}winbind.
Но теперь все это не помогло и в итоге я сейчас сижу в safe режиме. Список пользователей с домена получаю, возможно действительно где-то в pam проблемы, но самому не хватает опыта.

[Сергей Н]

Дайте конфигурацию pam /etc/pam.d/su. Если там есть include, то дайте содержимое подключенных через include файлов тоже. Наверняка у вас подключены файлы, использующие winbind, соответственно su тоже пытается его использовать и может запарываться именно там.

[Сергей Н]

Судя по strace, у вас ещё и попытки подключения по dbus впридачу.

[Sinot]

/etc/pam.d/su - link
/etc/pam.d/common-account - link
/etc/pam.d/common-auth - link
/etc/pam.d/common-session - link

Последние три я менял давно по этому мануалу, собственно я добавил только "session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077" в /etc/pam.d/common-session.

[Сергей Н]

Не уверен, что вам нужны обе авторизации - через winbind и kerberos, в руководстве упомниается только одна. В любом случае, начните разбираться с winbind, проверьте, запускается ли демон, проходит ли авторизация, правильно ли всё сконфигурировано в winbind.conf.
Можете попробовать временно отключить всё ненужное через pam_auth_update, потом последовательно включать и разобраться, что именно не срабатывает.

[Sinot]

Спасибо, продолжу свои изыскания в понедельник (выгнали с работы на выходные).
Конфигурация common-account, common-auth, common-session вроде не изменилась с последнего момента работоспособной системы. Кстати, в системе есть один родной пользователь и при логине его точно также выкидывает, но домашнюю директорию создать успевает.

[Sinot]

В итоге я переустановил libpam-winbind, libpam-krb5, libnss-winbind.
Исправил сбившейся конфиг /etc/security/limits.conf (по мануалу сделал в общем).
И опять переставил приоритеты в /etc/rc{2-5}.d/S{в 99}winbind.

Что из этого помогло сказать не могу, но в итоге работает.

Answer 2

[Микаел Григорян]

Если есть бэкапы сравнить md5 бинарника su и права. И да, strace.