Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.

Dismiss

pam_mount verhindert su in cron-Jobs

15 views

Skip to first unread message

Michael Schuerig

unread,

Sep 5, 2009, 5:20:11 PM9/5/09

Seit ich auf libpam-mount 1.27-4 auf meinem System (aktuelles
Debian/unstable) installiert habe, bekomme ich Fehlermeldungen von
einigen cron-Jobs.

Diesen cron-Jobs ist gemeinsam, dass sie an irgendeiner Stelle mit su
Befehle als bestimmte Benutzer ausf�hren. In meinem konkreten Fall sind
das die Benutzer www-data und postgresql. pam_mount verwende ich daf�r,
um f�r "echte", interaktive Benutzer (sprich: mich) die verschl�sselte
/home-Partition (/dev/sda6) zu mounten, was auch nach wie vor
funktioniert.

Wenn ich das Problem richtig verstehe, dann ist es nun so, dass
pam_mount versucht, auch f�r die Benutzer www-data und postgresql,
/home zu mounten. Das ist erstens unn�tig und schl�gt zweitens fehl,
weil diese Benutzer gerade keine Passw�rter f�r die Partition haben --
und nat�rlich k�nnen die cron-Skripte keine Passw�rter interaktiv
erfragen. S.u. f�r eine beispielhafte Fehlerausgabe.

Zur Zeit ist meine pam_mount-Konfiguration in der Tat so, dass f�r alle
Benutzer /home gemountet wird. Mit fr�heren Versionen von libpam-mount
hat das funktioniert, inzwischen tut es das nicht mehr.

/etc/security/pam_mount.conf.xml
<volume user="*" fstype="crypt" path="/dev/sda6" mountpoint="/home"
options="noatime" />

Ist die korrekte L�sung, dass ich alle "echten" Benutzer explizit in
der Volume-Definition angebe?

K�nnte ich stattdessen pam_mount beibringen, dass es dieses Volume nur
f�r Benutzer zu mounten versucht, deren home-Verzeichnis tats�chlich in
/home liegt?

Michael

/etc/cron.daily/dwww:
reenter password for pam_mount:pam_mount(pam_mount.c:516): warning:
could not obtain password interactively either
pam_mount(spawn.c:101): error setting uid to 0
pmvarrun(pmvarrun.c:453): could not unlink /var/run/pam_mount/www-data:
Permission denied
pam_mount(spawn.c:101): error setting uid to 0
pam_mount(mount.c:67): umount messages:
pam_mount(mount.c:71): umount: only root can do that
pam_mount(mount.c:71): umount /home failed with run_sync status 1
pam_mount(mount.c:71): mlockall failed: Cannot allocate memory
pam_mount(mount.c:71): WARNING!!! Possibly insecure memory. Are you
root?
pam_mount(mount.c:71): Command failed: Cannot communicate with device-
mapper. Is the dm_mod module loaded?
pam_mount(mount.c:71): umount.crypt(crypto-dmc.c:168): Could not unload
dm-crypt device "/dev/mapper/_dev_sda6", cryptsetup returned HXproc
status 218
pam_mount(mount.c:698): unmount of /dev/sda6 failed

--
Michael Schuerig
mailto:mic...@schuerig.de
http://www.schuerig.de/michael/

--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an debian-user-g...@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listm...@lists.debian.org (engl)

0 new messages