PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Login-Info's anzeigen



pixel
20.11.03, 14:01
Hi@all,

ich habe an unserem Linux-Server ein seltsames Problem welches sich auf einen User beschränkt.

Am Server ist dieser User angelegt und hat auch in /etc/passwd einen entsprechenden Eintrag:

markus:x:503:500::/data/user/markus:/bin/bash

Für diesen User habe ich am Server auch schon mehrfach das Passwort neu gesetzt (als root)

passwd markus

Das Passwort ist also richtig. Wenn ich nun versuche vom Client aus mich per ssh einzuloggen erhalte ich immer die Fehlermeldung:

Access denied

Vom gleichen Client aus kann ich mich jedoch unter einem anderen User ohne Probleme einloggen, somit kann es am ssh-Server schon mal nicht liegen. Nun habe ich gedacht das es evtl. an, im Userverzeich/.ssh (auf Server) vorhandenen, Key-Dateien liegen. Deshalb habe ich auf dem Server im home des Users das .ssh Verzeichnis leer gemacht was jedoch auch nichts gebracht hat.
Meine letzte Idee war den User einfach zu löschen und anschließend neu anzulegen jedoch wir der Befehl:

userdel markus

Mit der Fehlermeldung:

userdel: user markus is currently logged in

quittiert. Der User ist aber nicht auf dem Server eingeloggt ausser auf den Samba. Da ich jedoch keinen LDAP-Server habe sind Linux-User und Samba-User völlig getrennt.

Wie kann ich mir Informationen über aktive Logins anzeigen bzw. von welcem Client aus sie iniziert wurden?

Gruß Pixel

Thomas Engelke
20.11.03, 14:09
Du kannst per `users` schauen, wer eingeloggt ist. Außerdem könntest du per `lsof` dir Dateien anzeigen lassen, welche dieser User geöffnet hat. Auch ein `ps ax` mag dich weiterbringen, dort verraten die Prozesse manchmal auch einen Nutzernamen.

AD!

D_O_Z_E_R
20.11.03, 14:15
moin,

probier es mal mit last

pixel
20.11.03, 14:39
Hi@all,

also ein Stück weiter bin ich gekommen. Der Befehl 'users' ergibt die Ausgabe:

markus root

Wobei ich im Moment als root eingelogt bin. Der Befehl 'ps ax | grep markus' ergibt:

6062 pts/0 S 0:00 grep markus

und zu guter letzt noch 'last | grep markus'

markus pts/0 Thu Nov 20 13:37 - 13:38 (00:00)
markus pts/1 nb-markus.komet. Thu Jun 26 11:36 - 11:36 (00:00)
markus pts/1 nb-markus.komet. Thu Jun 26 09:59 - 09:59 (00:00)
markus pts/1 nb-markus.komet. Thu Jun 26 09:47 - 09:49 (00:02)

So der Rechner 'nb-markus' ist jedoch ausgeschaltet. Wie kann ich diesen 'toten' Login killen?

Gruß Pixel

dilindam
20.11.03, 15:08
Hallo,

steht der user markus auch in der
/etc/ssh/sshd_config unter

AllowUsers ?

Kann sein das die Zeile noch gar nicht drin steht.

Wenn nicht dann schreibe sie unter PermitRootLogin
drunter.

PermitRootLogin würde ich auf no setzen.

Also so ungefähr:

PermitRootLogin no
AllowUsers markus

MfG Torsten

pixel
20.11.03, 15:37
steht der user markus auch in der
/etc/ssh/sshd_config unter

AllowUsers ?
Nein.

Daran kann es jedoch nicht liegen da die aderen User sich ganz norma per SSH einloggen können. Außerdem würde ich viel lieber Wissen warum der Befehl 'users' den Benutzer markus as eingeloggt anzeigt.

Gruß Pixel

dilindam
20.11.03, 15:50
>Der Befehl 'ps ax | grep markus' ergibt:

>6062 pts/0 S 0:00 grep markus

Das ist jetzt aber nur der grep prozess.

Poste mal ein "w"
Und dann ein "ps ax"


Wie kann ich diesen 'toten' Login killen?

kill -9 "ID"

MfG Torsten

pixel
20.11.03, 16:12
Hi@all,

Das ist jetzt aber nur der grep prozess.
Das versteh ich ehrlich gesagt nicht ganz ich wollte mit dem Befehl eigentlich nur die Ausgabe des Befehles 'ps ax' nach dem Wort markus filtern. Habe ich da etwas falsch verstanden?

Poste mal ein "w"
Und dann ein "ps ax"
Was soll ich nun genau Posten?

Gruß Pixel

dilindam
20.11.03, 16:34
Hi,

ps ax | grep markus

6062 pts/0 S 0:00 grep markus


Kill den Prozess mal.
kill 6062

Und dann mach mal wieder

ps ax | grep markus

dann steht da wahrscheinlich

6063 pts/0 S 0:00 grep markus

Der grep Befehl ist selbst ein Prozess.

Wenn markus irgendein Prozess am Start hat müßten da zwei Zeilen sein.
>Was soll ich nun genau Posten?

torsten@hort:~$ w
16:29:05 up 2 days, 6:10, 2 users, load average: 0.06, 0.01, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 - Tue12 2days 0.38s 0.38s -bash
torsten pts/0 192.168.1.74 16:29 0.00s 0.12s 0.07s w
torsten@hort:~$

Hier ist z.B. noch der root auf Konsole eingeloggt. Müßte ich nachher noch in Keller
laufen und ihn ausloggen. Oder aber:


torsten@hort:~$ ps ax
PID TTY STAT TIME COMMAND
330 ? SL 0:00 /usr/sbin/ntpd
337 ? S 0:00 /usr/sbin/squid -D -sYC
340 ? S 0:08 (squid) -D -sYC
353 ? S 0:00 proftpd: (accepting connections)
360 ? S 0:00 /usr/sbin/cron
364 ? S 0:05 /usr/sbin/apache
372 ? S 0:00 /usr/sbin/apache-ssl
378 tty2 S 0:00 /sbin/getty 38400 tty2
379 tty3 S 0:00 /sbin/getty 38400 tty3
380 tty4 S 0:00 /sbin/getty 38400 tty4
381 tty5 S 0:00 /sbin/getty 38400 tty5
382 tty6 S 0:00 /sbin/getty 38400 tty6
986 tty1 S 0:00 -bash
14353 ? S 0:00 sshd: torsten [priv]
14355 ? S 0:00 sshd: torsten@pts/0
14356 pts/0 S 0:00 -bash
14384 pts/0 R 0:00 ps ax ax
torsten@hort:~$

Nun sehe ich das da jemand auf tty1 eine bash hat. Also auf Konsole 1 eingeloggt ist.

Und wer ist das? Genau: root
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root tty1 - Tue12 2days 0.38s 0.38s -bash


Und nun

hort:/home/torsten# kill -9 986
hort:/home/torsten# w
16:33:29 up 2 days, 6:14, 1 user, load average: 0.06, 0.02, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
torsten pts/0 192.168.1.74 16:29 0.00s 0.21s 0.07s w
hort:/home/torsten#

So, root ist ausgeloggt.


Muss ich nicht in Keller.

pixel
20.11.03, 16:46
Hi,

also Der Befehl 'w' gibt folgendes aus:

16:42:52 up 16 days, 21:52, 2 users, load average: 0.05, 0.05, 0.01
USER TTY LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 16:08 0.00s 0.08s 0.01s w

und 'ps ax'

PID TTY STAT TIME COMMAND
1 ? S 0:05 init [3]
2 ? SW 0:00 [keventd]
3 ? SWN 0:01 [ksoftirqd_CPU0]
4 ? SW 16:31 [kswapd]
5 ? SW 0:00 [bdflush]
6 ? SW 0:02 [kupdated]
7 ? SW 0:05 [kinoded]
9 ? SW 0:00 [mdrecoveryd]
13 ? SW 0:00 [scsi_eh_0]
131 ? SW< 0:00 [lvm-mpd]
204 ? SW 0:03 [kreiserfsd]
206 ? SW 6:59 [kjournald]
747 ? S 0:07 /sbin/syslogd -a /var/lib/dhcp/dev/log -a /var/lib/named/dev/log
750 ? S 0:00 /sbin/klogd -c 1 -2
775 ? S 0:00 /sbin/resmgrd
828 ? S 0:00 /usr/bin/ntop -E -P /var/lib/ntop -i eth0 -u wwwrun -w 192.168.111.1:3000 -W 3001
853 ? S 0:00 /sbin/portmap
913 ? S 0:00 /sbin/rpc.statd
979 ? S 0:47 /usr/lib/samba/classic/nmbd -D -s /etc/samba/smb.conf
980 ? S 0:00 /usr/lib/samba/classic/nmbd -D -s /etc/samba/smb.conf
1064 ? S 0:00 /usr/bin/ntop -E -P /var/lib/ntop -i eth0 -u wwwrun -w 192.168.111.1:3000 -W 3001
1065 ? S 0:00 /usr/bin/ntop -E -P /var/lib/ntop -i eth0 -u wwwrun -w 192.168.111.1:3000 -W 3001
1066 ? S 19:08 /usr/bin/ntop -E -P /var/lib/ntop -i eth0 -u wwwrun -w 192.168.111.1:3000 -W 3001
1067 ? S 0:00 /usr/bin/ntop -E -P /var/lib/ntop -i eth0 -u wwwrun -w 192.168.111.1:3000 -W 3001
1069 ? S 0:00 /usr/bin/ntop -E -P /var/lib/ntop -i eth0 -u wwwrun -w 192.168.111.1:3000 -W 3001
1070 ? S 323:14 /usr/bin/ntop -E -P /var/lib/ntop -i eth0 -u wwwrun -w 192.168.111.1:3000 -W 3001
1098 ? S 0:00 /usr/sbin/named -t /var/lib/named -u named
1099 ? S 0:00 /usr/sbin/named -t /var/lib/named -u named
1100 ? S 2:06 /usr/sbin/named -t /var/lib/named -u named
1101 ? S 0:01 /usr/sbin/named -t /var/lib/named -u named
1102 ? S 0:11 /usr/sbin/named -t /var/lib/named -u named
1138 ? S 38:03 /usr/sbin/cupsd
1345 ? SW 0:00 [nfsd]
1346 ? SW 0:00 [nfsd]
1347 ? SW 0:00 [nfsd]
1348 ? SW 0:00 [lockd]
1349 ? SW 0:00 [rpciod]
1350 ? SW 0:00 [nfsd]
1353 ? S 0:00 /usr/sbin/rpc.mountd
1365 ? SW 0:00 [khubd]
1418 ? S 0:00 /usr/lib/samba/classic/smbd -D -s /etc/samba/smb.conf
1421 ? SL 0:00 /usr/sbin/ntpd -U ntp
1455 ? S 0:00 /usr/sbin/httpd -f /etc/httpd/httpd.conf
1456 ? S 0:00 /usr/sbin/httpd -f /etc/httpd/httpd.conf
1483 ? S 0:00 /usr/sbin/atd
1512 ? S 0:00 /usr/sbin/cron
1539 ? S 0:10 /usr/sbin/dhcpd eth0
1569 ? S 0:13 /usr/sbin/nscd
1570 ? S 0:00 /usr/sbin/nscd
1571 ? S 0:15 /usr/sbin/nscd
1572 ? S 0:10 /usr/sbin/nscd
1573 ? S 0:12 /usr/sbin/nscd
1574 ? S 0:15 /usr/sbin/nscd
1575 ? S 0:14 /usr/sbin/nscd
1600 ? S 0:00 /usr/sbin/inetd
1662 ? S 0:01 /data/hlserver/sbin/aksusbd
1663 ? S 0:00 /data/hlserver/sbin/aksusbd
1665 ? S 16:34 /data/hlserver/sbin/aksusbd
1667 ? S 0:03 /data/hlserver/hlserver -m:29418 -d
1668 ? S 0:00 /data/hlserver/hlserver -m:29418 -d
1677 ? S 0:00 /data/hlserver/hlserver -m:29418 -d
1704 ? S 0:00 /usr/dpt/dptelog
1724 tty2 S 0:00 /sbin/mingetty tty2
1725 tty3 S 0:00 /sbin/mingetty tty3
1726 tty4 S 0:00 /sbin/mingetty tty4
1727 tty5 S 0:00 /sbin/mingetty tty5
1728 tty6 S 0:00 /sbin/mingetty tty6
1729 ? S 0:00 /usr/dpt/dptcom
1732 ? S 0:00 /usr/dpt/dpteng
1733 ? S 0:00 /usr/dpt/dptcom
1734 ? S 0:00 /usr/dpt/dptcom
1735 ? S 0:00 /usr/dpt/dptscom -DAEMON
1736 ? S 0:00 /usr/dpt/dptelog
1737 ? S 0:00 /usr/dpt/dptelog
3528 ? S 0:00 /usr/sbin/httpd -f /etc/httpd/httpd.conf
25896 ? S 0:17 /usr/lib/samba/classic/smbd -D -s /etc/samba/smb.conf
2716 ? S 0:00 /usr/lib/samba/classic/smbd -D -s /etc/samba/smb.conf
2723 ? S 0:40 /usr/lib/samba/classic/smbd -D -s /etc/samba/smb.conf
2799 ? S 0:21 /usr/lib/samba/classic/smbd -D -s /etc/samba/smb.conf
2885 ? S 0:41 /usr/lib/samba/classic/smbd -D -s /etc/samba/smb.conf
2991 ? S 1:01 /usr/lib/samba/classic/smbd -D -s /etc/samba/smb.conf
2992 ? S 0:00 /usr/lib/samba/classic/smbd -D -s /etc/samba/smb.conf
3045 ? S 0:23 /usr/lib/samba/classic/smbd -D -s /etc/samba/smb.conf
3048 ? S 0:09 /usr/lib/samba/classic/smbd -D -s /etc/samba/smb.conf
3067 ? S 0:34 /usr/lib/samba/classic/smbd -D -s /etc/samba/smb.conf
3763 ? S 0:04 /usr/lib/samba/classic/smbd -D -s /etc/samba/smb.conf
6270 ? S 0:00 /usr/sbin/sshd -o PidFile /var/run/sshd.init.pid
6330 tty1 S 0:00 /sbin/mingetty --noclear tty1
6444 ? S 0:03 /usr/lib/samba/classic/smbd -D -s /etc/samba/smb.conf
6572 ? S 0:00 /usr/sbin/sshd -o PidFile /var/run/sshd.init.pid
6573 pts/0 S 0:00 -bash
6620 ? S 0:00 /usr/lib/samba/classic/smbd -D -s /etc/samba/smb.conf
6693 pts/0 R 0:00 ps ax

Das einzigste was ich mir vorstellen könnte ist das:

6330 tty1 S 0:00 /sbin/mingetty --noclear tty1

ein 'toter' Login ist, oder?

Gruß Pixel

dilindam
20.11.03, 17:04
>root pts/0 16:08 0.00s 0.08s 0.01s w

Na denn ist aber kein markus eingeloggt.
>6330 tty1 S 0:00 /sbin/mingetty --noclear tty1

>Das einzigste was ich mir vorstellen könnte ist das:

>6330 tty1 S 0:00 /sbin/mingetty --noclear tty1

>ein 'toter' Login ist, oder?

Keine Ahnung. Kill Ihn doch einfach.

Muss jetzt aber Feierabend machen.

MfG

D_O_Z_E_R
20.11.03, 20:40
@ pixel

der Befehl users zeigt dir nur die im System existierenden User an,net die
eingeloggten.ich finde ein last |more ist die schönste Übersicht über
die aktuelle Loginsituation....

pixel
21.11.03, 09:10
der Befehl users zeigt dir nur die im System existierenden User an,net die
eingeloggten
Das kann wohl kaum sein. Wie gesagt der Befehl 'users' zeigt mir root und markus an. root weil ich gerade als selbiger per ssh eingeloggt bin und den markus warum auch immer. Auf dem Server sind 30 Linux-User angelegt!

Gruß Pixel

pixel
21.11.03, 09:33
Hi@all,

komisch an der Ausgabe von 'last' ist auch das Gestern Mittag ein Login stattgefunden haben muß wo jedoch kein Rechnername angegeben wird. Hier ein Auszug:

[...]
root pts/0 sws-sven.komet.n Thu Nov 20 13:38 - 13:42 (00:03)
markus pts/0 Thu Nov 20 13:37 - 13:38 (00:00)
root pts/0 sws-sven.komet.n Thu Nov 20 13:37 - 13:37 (00:00)
[...]
Von der Uhrzeit her ist das mein Versuch mich von meinem Rechner (sws-sven.komet.net) aus mich als 'markus' einzuloggen. Was ich absolut nicht verstehe ist die diskrepanz zwischen dem Befehl 'users' und dem Befehl 'w' das bei erstem der User markus angezeigt wird und beim zweiten nicht.

Gruß Pixel

D_O_Z_E_R
21.11.03, 17:16
hi,

wegen deiner Frage von welchem Client aus sie initiert wurden last mal mit
-i aufrufen falls noch net geschehen.Hatte da auch mal sehr merkwürdige
Einträge...konnte mir auch keiner mit weiterhelfen....wenn du aber logins
dabei hast von uhrzeiten die net sein könnten,würd ich über eine Neuinstallation nachdenken...wer weiß was da los ist!?

hugin grímnirson
21.11.03, 21:02
versuch mal folgendes:

schau mal, ob es in der sshd.conf einen solchen oder ähnlichen eintrag gibt.

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no
#PermitEmityPasswords no

falls ja, PasswordAuthentication auskommentieren.