• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Gelöst PAM Fehler

F

f.gruber

Hacker
Hallo,
wahrscheinlich nach einem Kernel-Update sehe ich auf meinem Server nun Fehlermeldungen im LOG
Code: 
journalctl

auth[1952]: PAM unable to dlopen(/lib64/security/pam_warn.so): /lib6
auth[1952]: PAM adding faulty module: /lib64/security/pam_warn.so
auth[1952]: PAM unable to dlopen(/lib64/security/pam_deny.so): /lib6
auth[1952]: PAM adding faulty module: /lib64/security/pam_deny.so
Das hat dramatische Auswirkungen, da man sich nun nicht mehr am IMAP Server einloggen kann. Der Server arbeitet als Mailserver und man kann nun z.B. über Thunderbird keine Nachrichten abrufen. Die IMAP Konten sind mit den lokalen Benutzern am Server verknüpft. Und diese Authentifizierung funktioniert jetzt plötzlich nicht mehr.

Per SSH kann ich mich aber an diesem Server einloggen.

Der Server läuft (noch) unter openSUSE Leap 15.4 - ich habe das Upgrade auf 15.5 noch nicht gemacht - liegt es etwa daran? Was soll ich tun?
 
OP
F

f.gruber

Hacker
Code: 
ls -l /lib64/security

Code: 
-rwxr-xr-x 1 root root  18688  3. Okt 2022  pam_access.so
-rwxr-xr-x 1 root root  18656  3. Okt 2022  pam_cracklib.so
-rwxr-xr-x 1 root root  10368  3. Okt 2022  pam_debug.so
-rwxr-xr-x 1 root root   6000  3. Okt 2022  pam_deny.so
-rwxr-xr-x 1 root root  10336  3. Okt 2022  pam_echo.so
-rwxr-xr-x 1 root root  14528  3. Okt 2022  pam_env.so
-rwxr-xr-x 1 root root  14720  3. Okt 2022  pam_exec.so
-rwxr-xr-x 1 root root  10376  3. Okt 2022  pam_faildelay.so
-rwxr-xr-x 1 root root  18760  3. Okt 2022  pam_faillock.so
drwxr-xr-x 2 root root   4096  2. Okt 10:58 pam_filter
-rwxr-xr-x 1 root root  14576  3. Okt 2022  pam_filter.so
-rwxr-xr-x 1 root root  10304  3. Okt 2022  pam_ftp.so
-rwxr-xr-x 1 root root  14608  3. Okt 2022  pam_group.so
-rwxr-xr-x 1 root root  10448  3. Okt 2022  pam_issue.so
-rwxr-xr-x 1 root root  10344  3. Okt 2022  pam_keyinit.so
-rwxr-xr-x 1 root root  14560  3. Okt 2022  pam_lastlog.so
-rwxr-xr-x 1 root root  22904  3. Okt 2022  pam_limits.so
-rwxr-xr-x 1 root root  10384  3. Okt 2022  pam_listfile.so
-rwxr-xr-x 1 root root  10312  3. Okt 2022  pam_localuser.so
-rwxr-xr-x 1 root root  10400  3. Okt 2022  pam_loginuid.so
-rwxr-xr-x 1 root root  10376  3. Okt 2022  pam_mail.so
-rwxr-xr-x 1 root root  10352  3. Okt 2022  pam_mkhomedir.so
-rwxr-xr-x 1 root root  14536  3. Okt 2022  pam_motd.so
-rwxr-xr-x 1 root root  39720  3. Okt 2022  pam_namespace.so
-rwxr-xr-x 1 root root  10328  3. Okt 2022  pam_nologin.so
-rwxr-xr-x 1 root root   6168  3. Okt 2022  pam_permit.so
-rwxr-xr-x 1 root root  14664  3. Okt 2022  pam_pwhistory.so
-rwxr-xr-x 1 root root  10424  7. Mai 2022  pam_pwquality.so
-rwxr-xr-x 1 root root  10296  3. Okt 2022  pam_rhosts.so
-rwxr-xr-x 1 root root  10368  3. Okt 2022  pam_rootok.so
-rwxr-xr-x 1 root root  10368  3. Okt 2022  pam_securetty.so
-rwxr-xr-x 1 root root  22904  3. Okt 2022  pam_selinux.so
-rwxr-xr-x 1 root root  14632  3. Okt 2022  pam_sepermit.so
-rwxr-xr-x 1 root root   6216  3. Okt 2022  pam_shells.so
-rwxr-xr-x 1 root root  26528 27. Jul 09:44 pam_sss_gss.so
-rwxr-xr-x 1 root root  51104 27. Jul 09:44 pam_sss.so
-rwxr-xr-x 1 root root  14448  3. Okt 2022  pam_stress.so
-rwxr-xr-x 1 root root  14496  3. Okt 2022  pam_succeed_if.so
-rwxr-xr-x 1 root root 582632 17. Aug 06:32 pam_systemd.so
-rwxr-xr-x 1 root root  18680  3. Okt 2022  pam_tally2.so
-rwxr-xr-x 1 root root  14576  3. Okt 2022  pam_time.so
-rwxr-xr-x 1 root root  18816  3. Okt 2022  pam_timestamp.so
-rwxr-xr-x 1 root root  10376  3. Okt 2022  pam_tty_audit.so
-rwxr-xr-x 1 root root  10440  3. Okt 2022  pam_umask.so
-rwxr-xr-x 5 root root  56240  3. Okt 2022  pam_unix_acct.so
-rwxr-xr-x 5 root root  56240  3. Okt 2022  pam_unix_auth.so
-rwxr-xr-x 5 root root  56240  3. Okt 2022  pam_unix_passwd.so
-rwxr-xr-x 5 root root  56240  3. Okt 2022  pam_unix_session.so
-rwxr-xr-x 5 root root  56240  3. Okt 2022  pam_unix.so
-rwxr-xr-x 1 root root  10144 23. Jun 11:08 pam_user_map.so
-rwxr-xr-x 1 root root   6168  3. Okt 2022  pam_warn.so
-rwxr-xr-x 1 root root  10328  3. Okt 2022  pam_wheel.so
-rwxr-xr-x 1 root root  96264 17. Aug 08:56 pam_winbind.so
-rwxr-xr-x 1 root root  18920  3. Okt 2022  pam_xauth.so

Die Fehlermeldungen schauen jetzt so aus:

Code: 
Okt 02 18:14:32 t2792 auth[9613]: PAM unable to dlopen(/lib64/security/pam_unix.so): libnsl.so.2: failed to map segment from shared object
Okt 02 18:14:32 t2792 auth[9613]: PAM adding faulty module: /lib64/security/pam_unix.so
Okt 02 18:14:32 t2792 auth[9613]: PAM unable to dlopen(/lib64/security/pam_cracklib.so): /lib64/security/pam_cracklib.so: failed to map segment from shared object
Okt 02 18:14:32 t2792 auth[9613]: PAM adding faulty module: /lib64/security/pam_cracklib.so
Okt 02 18:14:32 t2792 auth[9613]: PAM unable to dlopen(/lib64/security/pam_systemd.so): libpam_misc.so.0: failed to map segment from shared object
Okt 02 18:14:32 t2792 auth[9613]: PAM adding faulty module: /lib64/security/pam_systemd.so
Okt 02 18:14:32 t2792 auth[9613]: PAM unable to dlopen(/lib64/security/pam_limits.so): /lib64/security/pam_limits.so: failed to map segment from shared object
Okt 02 18:14:32 t2792 auth[9613]: PAM adding faulty module: /lib64/security/pam_limits.so
Okt 02 18:14:32 t2792 auth[9613]: PAM unable to dlopen(/lib64/security/pam_umask.so): /lib64/security/pam_umask.so: failed to map segment from shared object
Okt 02 18:14:32 t2792 auth[9613]: PAM adding faulty module: /lib64/security/pam_umask.so
Okt 02 18:14:32 t2792 auth[9613]: PAM unable to dlopen(/lib64/security/pam_warn.so): /lib64/security/pam_warn.so: failed to map segment from shared object
Okt 02 18:14:32 t2792 auth[9613]: PAM adding faulty module: /lib64/security/pam_warn.so
Okt 02 18:14:32 t2792 auth[9613]: PAM unable to dlopen(/lib64/security/pam_deny.so): /lib64/security/pam_deny.so: failed to map segment from shared object
Okt 02 18:14:32 t2792 auth[9613]: PAM adding faulty module: /lib64/security/pam_deny.so
 
josefine_h

josefine_h

Newbie
In einem anderen Forum wurde das selbe Problem geschildert.

Das hier war die Fehlerbeschreibung:
Hallo,

ich verwendete Leap 15.4 auf meinem Rechner.

Nach dem letzten Update habe ich wohl Probleme mit PAM, egroupware, dovecot.

Vor dem Update funktionierte alles ohne Probleme, nach dem Update passierte folgendes.



Ich kann mich an egroupware anmelden, kann mit allem arbeiten nur nicht mit den Mails.

Wenn ich also die Mails aufrufe, gelingt der erste Aufruf z.B. Posteingang. Wechsel ich dann in einen anderen Mailordner, bleibt der Mailordner leer und im System sehe ich folgende Meldung.

auth[3693]: PAM unable to dlopen(/lib64/security/pam_limits.so): /lib64/security/pam_limits.so: failed to map segment from shared object

auth[3693]: PAM adding faulty module: /lib64/security/pam_limits.so

auth[3693]: PAM unable to dlopen(/lib64/security/pam_umask.so): /lib64/security/pam_umask.so: failed to map segment from shared object

auth[3693]: PAM adding faulty module: /lib64/security/pam_umask.so

auth[3693]: PAM unable to dlopen(/lib64/security/pam_warn.so): /lib64/security/pam_warn.so: failed to map segment from shared object

auth[3693]: PAM adding faulty module: /lib64/security/pam_warn.so

auth[3693]: PAM unable to dlopen(/lib64/security/pam_deny.so): /lib64/security/pam_deny.so: failed to map segment from shared object

auth[3693]: PAM adding faulty module: /lib64/security/pam_deny.so



Erst wenn ich den dovecot neu starte, geht es weiter bis zu nächsten Aktion.



Habe dann heute auf Leap 15.5 umgestellt und auch das selbe Problem.

Das egroupware hatte ich schon länger nicht mehr aktualisiert, das Problem taucht erst nach dem letzten Leap-Update gestern auf. I.d.R. mache ich die Leap-updates ca. 1 x pro Woche.

Habe dann aber heute auch das egrouware aktualisiert, es hat sich aber nichts verändert.



Wo könnte ich mit meiner Suche beginnen?

Firewall und AppArmor habe ich mal testweise deaktiviert, leider keine Veränderung.
Zum Vergrößern anklicken....

Gelöst hat es der User selbst so:
Durch ein Dovecot Update wurde in den config auf PAM umgestellt. Habe es dann auf Shadow gestellt und es funktionierte wieder.

Warum das mit PAM nicht funktioniert hat, werde ich noch ergründen, Hauptsache es funktioniert erstmal wieder.
Zum Vergrößern anklicken....

Sorry - das ich nicht mehr beitragen kann, aber im Moment läuft bei mir kein Suse ...
 
OP
F

f.gruber

Hacker
Danke für den Hinweis.
Hatte selbst schon den Verdacht, dass es an dovecot liegen könnte.

Habe mich nun jahrelang nicht mehr um die Dovecot Konfiguration kümmern müssen, da alles funktioniert hat - bis vor einigen Tagen.
Ich bin ziemlich überfordert.

Ich wäre dankbar für einen Link zu dem Forum bzw. direkt zu dem Thread, der oben zitiert wird.

Habe übrigens jetzt den Server auf openSUSE Leap 15.5 upgegradet. Hat aber nichts geändert an dem Problem, außer dass der Text der Fehlermeldungen ein wenig anders lautet.
 
Zuletzt bearbeitet:
OP
F

f.gruber

Hacker
Ich habe einen ähnlichen Workaround gewählt, um die PAM Fehler zu umgehen:

Hier beschreibe ich die einzelnen Schritte, vielleicht hilft es jemandem.
Mich hat das Problem viele Stunden gekostet.

Ich habe die Konfiguration der Dovecot Authentifizierung geändert: /etc/dovecot/conf.d/10-auth.conf
auth-system deaktivieren: # !include auth-system.conf.ext
auth-passwdfile aktivieren: !include auth-passwdfile.conf.ext

doveconf -n zeigt dann an:
Code: 
passdb {
   args = scheme=CRYPT username_format=%u /etc/dovecot/users
   driver = passwd-file
}
Da ich nur wenige Benutzer habe, konnte ich die Passwörter in /etc/dovecot/users manuell eintragen. Mit doveadm pw kann man die Passörter verschlüsseln (die Passwort Hashes erzeugen).

In der Passwortdatei stehen dann Zeilen, wie
user_tux:{CRYPT}$2y$05$1QECmPrWLBP8tTwlf8d3BeboxGHDGBLDGeIAjflH70wpT8Ebt82Em:1000:100::/home/user_tux:/bin/bash
Dann den Server neu starten
Code: 
doveadm stop
dovecot
Die Error Meldungen wegen PAM sind nun weg und log in am IMAP server funktioniert wieder.
 
S

spoensche

Moderator
Teammitglied
Wie sieht den deine Dovecot Konfiguration für die Authentifizierung via PAM aus? (Inhalt der auth-system.conf.ext)
 
OP
F

f.gruber

Hacker
Hier poste ich die relevanten Zeilen aus meiner /etc/dovecot/conf.d/auth-system.conf.ext

Code: 
passdb {
  driver = pam
# [session=yes] [setcred=yes] [failure_show_msg=yes] [max_requests=<n>]
# [cache_key=<key>] [<service name>]
# args = dovecot
}

userdb {
# <doc/wiki/AuthDatabase.Passwd.txt>
driver = passwd
# [blocking=no]
# args = 

# Override fields from passwd
# override_fields = home=/home/virtual/%u
}
 
OP
F

f.gruber

Hacker
Danke für den Link. Habe mir diese Einstellungen notiert, falls ich noch einmal zurückkehren sollte zur Authentifizierung über PAM.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben