Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Massenhaft NT_STATUS_LOGON_FAILURE im syslog
227 views
Skip to first unread message
Andreas Tille
Feb 13, 2017, 6:10:03 AM2/13/17
to
Hallo,
ich bin über massenhafte NT_STATUS_* Meldungen in
/var/log# zgrep -c NT_STATUS kern.log* syslog* messages*
kern.log:2753999
kern.log.1.gz:12543123
kern.log.2.gz:1539579
kern.log.3.gz:1032060
kern.log.4.gz:848403
syslog:2753974
syslog.1.gz:1400549
syslog.2.gz:2708699
syslog.3.gz:2709865
syslog.4.gz:2700634
syslog.5.gz:1320486
syslog.6.gz:557527
syslog.7.gz:559671
messages:2753864
messages.1.gz:12543124
messages.2.gz:1539579
messages.3.gz:1032060
messages.4.gz:848403
Ein zufälliger Ausschnitt aus kern.log sieht so aus
Feb 6 07:41:34 host01 kernel: [8380928.017182] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:34 host01 kernel: [8380928.018720] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:34 host01 kernel: [8380928.020659] Status code returned 0xc0000071 NT_STATUS_PASSWORD_EXPIRED
Feb 6 07:41:34 host01 kernel: [8380928.021989] Status code returned 0xc0000071 NT_STATUS_PASSWORD_EXPIRED
Feb 6 07:41:34 host01 kernel: [8380928.023680] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:34 host01 kernel: [8380928.027834] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:34 host01 kernel: [8380928.029280] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:34 host01 kernel: [8380928.030981] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:34 host01 kernel: [8380928.032680] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:34 host01 kernel: [8380928.034390] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:34 host01 kernel: [8380928.036305] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:34 host01 kernel: [8380928.037771] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:34 host01 kernel: [8380928.043969] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:35 host01 kernel: [8380929.059816] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:35 host01 kernel: [8380929.059821] cifs_vfs_err: 192 callbacks suppressed
Feb 6 07:41:35 host01 kernel: [8380929.059824] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.063770] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.063774] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.066173] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.066178] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.068088] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:35 host01 kernel: [8380929.068092] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.070766] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.070770] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.072385] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.072388] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.074557] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:35 host01 kernel: [8380929.074561] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.078094] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:35 host01 kernel: [8380929.078098] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.081325] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.081336] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.082832] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.082836] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.084526] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.086372] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.089115] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:35 host01 kernel: [8380929.091242] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:35 host01 kernel: [8380929.093428] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.095211] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.097164] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:35 host01 kernel: [8380929.099162] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:35 host01 kernel: [8380929.100726] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.102397] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.103734] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.105216] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.107034] Status code returned 0xc0000071 NT_STATUS_PASSWORD_EXPIRED
Feb 6 07:41:35 host01 kernel: [8380929.108154] Status code returned 0xc0000071 NT_STATUS_PASSWORD_EXPIRED
Das ganze hat sicher irgendwie mit Samba zu tun, denn
/usr/lib $ grep -lR NT_STATUS_LOGON_FAILURE * 2>/dev/null
x86_64-linux-gnu/samba/libauth.so.0
x86_64-linux-gnu/samba/liberrors.so.0
Es handelt sich um ein aktuelles Debian Jessie, das ich selber nicht
aufgesetzt habe. Ich habe auch keine Ahnung von Samba und wohin ich
gucken müßte, um die Ursache zu finden. Wo sollte ich zuerst hinsehen
um diese massenhaften Fehlermeldungen (logs wachsen auf 1.5GB an) zu
vermeiden?
Viele Grüße
Andreas.
--
http://fam-tille.de
ich bin über massenhafte NT_STATUS_* Meldungen in
/var/log# zgrep -c NT_STATUS kern.log* syslog* messages*
kern.log:2753999
kern.log.1.gz:12543123
kern.log.2.gz:1539579
kern.log.3.gz:1032060
kern.log.4.gz:848403
syslog:2753974
syslog.1.gz:1400549
syslog.2.gz:2708699
syslog.3.gz:2709865
syslog.4.gz:2700634
syslog.5.gz:1320486
syslog.6.gz:557527
syslog.7.gz:559671
messages:2753864
messages.1.gz:12543124
messages.2.gz:1539579
messages.3.gz:1032060
messages.4.gz:848403
Ein zufälliger Ausschnitt aus kern.log sieht so aus
Feb 6 07:41:34 host01 kernel: [8380928.017182] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:34 host01 kernel: [8380928.018720] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:34 host01 kernel: [8380928.020659] Status code returned 0xc0000071 NT_STATUS_PASSWORD_EXPIRED
Feb 6 07:41:34 host01 kernel: [8380928.021989] Status code returned 0xc0000071 NT_STATUS_PASSWORD_EXPIRED
Feb 6 07:41:34 host01 kernel: [8380928.023680] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:34 host01 kernel: [8380928.027834] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:34 host01 kernel: [8380928.029280] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:34 host01 kernel: [8380928.030981] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:34 host01 kernel: [8380928.032680] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:34 host01 kernel: [8380928.034390] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:34 host01 kernel: [8380928.036305] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:34 host01 kernel: [8380928.037771] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:34 host01 kernel: [8380928.043969] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:35 host01 kernel: [8380929.059816] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:35 host01 kernel: [8380929.059821] cifs_vfs_err: 192 callbacks suppressed
Feb 6 07:41:35 host01 kernel: [8380929.059824] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.063770] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.063774] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.066173] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.066178] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.068088] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:35 host01 kernel: [8380929.068092] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.070766] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.070770] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.072385] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.072388] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.074557] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:35 host01 kernel: [8380929.074561] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.078094] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:35 host01 kernel: [8380929.078098] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.081325] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.081336] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.082832] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.082836] CIFS VFS: Send error in SessSetup = -13
Feb 6 07:41:35 host01 kernel: [8380929.084526] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.086372] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.089115] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:35 host01 kernel: [8380929.091242] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:35 host01 kernel: [8380929.093428] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.095211] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.097164] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:35 host01 kernel: [8380929.099162] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
Feb 6 07:41:35 host01 kernel: [8380929.100726] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.102397] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.103734] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.105216] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Feb 6 07:41:35 host01 kernel: [8380929.107034] Status code returned 0xc0000071 NT_STATUS_PASSWORD_EXPIRED
Feb 6 07:41:35 host01 kernel: [8380929.108154] Status code returned 0xc0000071 NT_STATUS_PASSWORD_EXPIRED
Das ganze hat sicher irgendwie mit Samba zu tun, denn
/usr/lib $ grep -lR NT_STATUS_LOGON_FAILURE * 2>/dev/null
x86_64-linux-gnu/samba/libauth.so.0
x86_64-linux-gnu/samba/liberrors.so.0
Es handelt sich um ein aktuelles Debian Jessie, das ich selber nicht
aufgesetzt habe. Ich habe auch keine Ahnung von Samba und wohin ich
gucken müßte, um die Ursache zu finden. Wo sollte ich zuerst hinsehen
um diese massenhaften Fehlermeldungen (logs wachsen auf 1.5GB an) zu
vermeiden?
Viele Grüße
Andreas.
--
http://fam-tille.de
Stefan Baur
Feb 13, 2017, 6:20:03 AM2/13/17
to
Am 13.02.2017 um 12:08 schrieb Andreas Tille:
> Ich habe auch keine Ahnung von Samba und wohin ich
> gucken müßte, um die Ursache zu finden. Wo sollte ich zuerst hinsehen
> um diese massenhaften Fehlermeldungen (logs wachsen auf 1.5GB an) zu
> vermeiden?
Die erste Frage wäre: Brauchst Du Samba auf dem System überhaupt?
> Ich habe auch keine Ahnung von Samba und wohin ich
> gucken müßte, um die Ursache zu finden. Wo sollte ich zuerst hinsehen
> um diese massenhaften Fehlermeldungen (logs wachsen auf 1.5GB an) zu
> vermeiden?
Wenn nein -> deaktivieren oder deinstallieren.
Wenn ja -> Wofür?
Davon hinge dann die weitere Vorgehensweise ab.
Gruß
Stefan
Matthias Böttcher
Feb 13, 2017, 6:40:02 AM2/13/17
to
2017-02-13 12:08 GMT+01:00 Andreas Tille <and...@an3as.eu>:
> CIFS VFS: Send error in SessSetup = -13
> Feb 6 07:41:35 host01 kernel: [8380929.063770] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
Hallo Andreas,
> CIFS VFS: Send error in SessSetup = -13
> Feb 6 07:41:35 host01 kernel: [8380929.063770] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
das sind typische Meldungen des CIFS-Clients, der sich nicht
erfolgreich mit einer CIFS-Freigabe verbinden kann.
Andreas Tille
Feb 13, 2017, 8:40:02 AM2/13/17
to
Hallo Matthias,
On Mon, Feb 13, 2017 at 12:30:55PM +0100, Matthias Böttcher wrote:
> 2017-02-13 12:08 GMT+01:00 Andreas Tille <and...@an3as.eu>:
> > CIFS VFS: Send error in SessSetup = -13
> > Feb 6 07:41:35 host01 kernel: [8380929.063770] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
>
sprich, an welcher Stelle ich was ändern muß?
In dem Zusammenhang: Muß ich mich wundern, daß so viele cifsd laufen:
$ ps aux | grep cifs | grep -v "grep cifs"
root 8840 0.0 0.0 0 0 ? S< 2016 0:00 [cifsiod]
root 9645 0.0 0.0 0 0 ? S 2016 10:35 [cifsd]
root 9650 0.4 0.0 0 0 ? S 2016 714:02 [cifsd]
root 9656 0.1 0.0 0 0 ? S 2016 170:37 [cifsd]
root 33271 0.0 0.0 0 0 ? S 2016 7:19 [cifsd]
root 33867 0.0 0.0 0 0 ? S 2016 50:06 [cifsd]
root 55835 0.0 0.0 0 0 ? S 2016 37:32 [cifsd]
root 82848 0.0 0.0 0 0 ? S 2016 4:13 [cifsd]
root 120060 0.0 0.0 0 0 ? S 2016 2:00 [cifsd]
On Mon, Feb 13, 2017 at 12:30:55PM +0100, Matthias Böttcher wrote:
> 2017-02-13 12:08 GMT+01:00 Andreas Tille <and...@an3as.eu>:
> > CIFS VFS: Send error in SessSetup = -13
> > Feb 6 07:41:35 host01 kernel: [8380929.063770] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
>
> das sind typische Meldungen des CIFS-Clients, der sich nicht
> erfolgreich mit einer CIFS-Freigabe verbinden kann.
Wie kann ich herausfinden, welche CIFS-Freigabe da nicht funktioniert,
> erfolgreich mit einer CIFS-Freigabe verbinden kann.
sprich, an welcher Stelle ich was ändern muß?
In dem Zusammenhang: Muß ich mich wundern, daß so viele cifsd laufen:
$ ps aux | grep cifs | grep -v "grep cifs"
root 8840 0.0 0.0 0 0 ? S< 2016 0:00 [cifsiod]
root 9645 0.0 0.0 0 0 ? S 2016 10:35 [cifsd]
root 9650 0.4 0.0 0 0 ? S 2016 714:02 [cifsd]
root 9656 0.1 0.0 0 0 ? S 2016 170:37 [cifsd]
root 33271 0.0 0.0 0 0 ? S 2016 7:19 [cifsd]
root 33867 0.0 0.0 0 0 ? S 2016 50:06 [cifsd]
root 55835 0.0 0.0 0 0 ? S 2016 37:32 [cifsd]
root 82848 0.0 0.0 0 0 ? S 2016 4:13 [cifsd]
root 120060 0.0 0.0 0 0 ? S 2016 2:00 [cifsd]
Andreas Tille
Feb 13, 2017, 8:40:03 AM2/13/17
to
On Mon, Feb 13, 2017 at 12:17:53PM +0100, Stefan Baur wrote:
>
> Die erste Frage wäre: Brauchst Du Samba auf dem System überhaupt?
> Wenn nein -> deaktivieren oder deinstallieren.
>
> Wenn ja -> Wofür?
Zwingend notwendig da sich die Nutzer per ADS authentifizieren und per
>
> Die erste Frage wäre: Brauchst Du Samba auf dem System überhaupt?
> Wenn nein -> deaktivieren oder deinstallieren.
>
> Wenn ja -> Wofür?
CIFS Laufwerke mounten.
Matthias Böttcher
Feb 13, 2017, 9:40:02 AM2/13/17
to
Am 13. Februar 2017 um 14:33 schrieb Andreas Tille <and...@an3as.eu>:
> Wie kann ich herausfinden, welche CIFS-Freigabe da nicht funktioniert,
> sprich, an welcher Stelle ich was ändern muß?
Hallo Andreas,
> Wie kann ich herausfinden, welche CIFS-Freigabe da nicht funktioniert,
> sprich, an welcher Stelle ich was ändern muß?
einen stringenten Weg dafür kenne ich nicht. Hilfreich könnte sein:
cat /proc/mounts | grep " cifs "
cat /proc/fs/cifs/DebugData
> In dem Zusammenhang: Muß ich mich wundern, daß so viele cifsd laufen:
läuft ein cifsd.
Gruß
Matthias Böttcher
Matthias Böttcher
Feb 13, 2017, 9:50:02 AM2/13/17
to
https://wiki.samba.org/index.php/LinuxCIFS_troubleshooting
hier besonders:
To enable debugging,
echo a non-zero value into /proc/fs/cifs/cifsFYI.
For example:
# modprobe cifs
# echo 7 > /proc/fs/cifs/cifsFYI
To disable it:
# echo 0 > /proc/fs/cifs/cifsFYI
These messages end up in the kernel ring buffer. You can view them
using dmesg.
Am 13. Februar 2017 um 15:34 schrieb Matthias Böttcher
<matthias....@gmail.com>:
hier besonders:
To enable debugging,
echo a non-zero value into /proc/fs/cifs/cifsFYI.
For example:
# modprobe cifs
# echo 7 > /proc/fs/cifs/cifsFYI
To disable it:
# echo 0 > /proc/fs/cifs/cifsFYI
These messages end up in the kernel ring buffer. You can view them
using dmesg.
Am 13. Februar 2017 um 15:34 schrieb Matthias Böttcher
<matthias....@gmail.com>:
Martin Steigerwald
Feb 13, 2017, 11:00:03 AM2/13/17
to
Hallo Andreas,
Am Montag, 13. Februar 2017, 12:08:16 CET schrieb Andreas Tille:
> ich bin über massenhafte NT_STATUS_* Meldungen in
[…]
ist, der auf mit abgelaufenden Passwort und ggf. auch falschem Passwort auf
ein Share zugreift – da bin ich nicht ganz sicher, ob sich WRONG_PASSWORD auf
das PASSWORD_EXPIRED bezieht oder nochmal was Neues ist – und das ziemlich
häufig. Weiß nicht, wie die CIFS-Implementation im Kernel da arbeitet. Ich
würde ja erwartet, dass die irgendwann aufgibt, aber es sieht so aus, als sei
das bei Dir nicht der Fall.
Ich würde also mal in der fstab nach cifs-Mount-Angaben suchen.
Evtl. zeigt auch ein Blick in die Logs unterhalb /var/log/samba des Samba-
Servers (falls ein Samba-Server das Share bereitstellt).
Ansonsten lässt sich die Ausführlichkeit des Kernel-Logs temporär und zur
Laufzeit auch über /proc/sys/kernel/printk reduzieren.
Ciao,
--
Martin
Am Montag, 13. Februar 2017, 12:08:16 CET schrieb Andreas Tille:
> ich bin über massenhafte NT_STATUS_* Meldungen in
> Ein zufälliger Ausschnitt aus kern.log sieht so aus
>
> Feb 6 07:41:34 host01 kernel: [8380928.017182] Status code returned
> 0xc000006a NT_STATUS_WRONG_PASSWORD Feb 6 07:41:34 host01 kernel:
> [8380928.018720] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
> Feb 6 07:41:34 host01 kernel: [8380928.020659] Status code returned
> 0xc0000071 NT_STATUS_PASSWORD_EXPIRED Feb 6 07:41:34 host01 kernel:
> [8380928.021989] Status code returned 0xc0000071 NT_STATUS_PASSWORD_EXPIRED
> Feb 6 07:41:34 host01 kernel: [8380928.023680] Status code returned
> 0xc000006d NT_STATUS_LOGON_FAILURE Feb 6 07:41:34 host01 kernel:
> [8380928.027834] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
> Feb 6 07:41:34 host01 kernel: [8380928.029280] Status code returned
> 0xc000006a NT_STATUS_WRONG_PASSWORD Feb 6 07:41:34 host01 kernel:
> [8380928.030981] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
> Feb 6 07:41:34 host01 kernel: [8380928.032680] Status code returned
> 0xc000006d NT_STATUS_LOGON_FAILURE Feb 6 07:41:34 host01 kernel:
> [8380928.034390] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
[…]
>
> Feb 6 07:41:34 host01 kernel: [8380928.017182] Status code returned
> 0xc000006a NT_STATUS_WRONG_PASSWORD Feb 6 07:41:34 host01 kernel:
> [8380928.018720] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
> Feb 6 07:41:34 host01 kernel: [8380928.020659] Status code returned
> 0xc0000071 NT_STATUS_PASSWORD_EXPIRED Feb 6 07:41:34 host01 kernel:
> [8380928.021989] Status code returned 0xc0000071 NT_STATUS_PASSWORD_EXPIRED
> Feb 6 07:41:34 host01 kernel: [8380928.023680] Status code returned
> 0xc000006d NT_STATUS_LOGON_FAILURE Feb 6 07:41:34 host01 kernel:
> [8380928.027834] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
> Feb 6 07:41:34 host01 kernel: [8380928.029280] Status code returned
> 0xc000006a NT_STATUS_WRONG_PASSWORD Feb 6 07:41:34 host01 kernel:
> [8380928.030981] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
> Feb 6 07:41:34 host01 kernel: [8380928.032680] Status code returned
> 0xc000006d NT_STATUS_LOGON_FAILURE Feb 6 07:41:34 host01 kernel:
> [8380928.034390] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
> Es handelt sich um ein aktuelles Debian Jessie, das ich selber nicht
> aufgesetzt habe. Ich habe auch keine Ahnung von Samba und wohin ich
> gucken müßte, um die Ursache zu finden. Wo sollte ich zuerst hinsehen
> um diese massenhaften Fehlermeldungen (logs wachsen auf 1.5GB an) zu
> vermeiden?
Da die Meldungen aus dem kern.log kommen vermute ich, dass das ein CIFS-Mount
> aufgesetzt habe. Ich habe auch keine Ahnung von Samba und wohin ich
> gucken müßte, um die Ursache zu finden. Wo sollte ich zuerst hinsehen
> um diese massenhaften Fehlermeldungen (logs wachsen auf 1.5GB an) zu
> vermeiden?
ist, der auf mit abgelaufenden Passwort und ggf. auch falschem Passwort auf
ein Share zugreift – da bin ich nicht ganz sicher, ob sich WRONG_PASSWORD auf
das PASSWORD_EXPIRED bezieht oder nochmal was Neues ist – und das ziemlich
häufig. Weiß nicht, wie die CIFS-Implementation im Kernel da arbeitet. Ich
würde ja erwartet, dass die irgendwann aufgibt, aber es sieht so aus, als sei
das bei Dir nicht der Fall.
Ich würde also mal in der fstab nach cifs-Mount-Angaben suchen.
Evtl. zeigt auch ein Blick in die Logs unterhalb /var/log/samba des Samba-
Servers (falls ein Samba-Server das Share bereitstellt).
Ansonsten lässt sich die Ausführlichkeit des Kernel-Logs temporär und zur
Laufzeit auch über /proc/sys/kernel/printk reduzieren.
Ciao,
--
Martin
Andreas Tille
Feb 14, 2017, 3:30:02 AM2/14/17
to
Hallo,
danke erstmal für die hilfreichen Tips.
On Mon, Feb 13, 2017 at 03:39:43PM +0100, Matthias Böttcher wrote:
> https://wiki.samba.org/index.php/LinuxCIFS_troubleshooting
>
> hier besonders:
> To enable debugging,
> echo a non-zero value into /proc/fs/cifs/cifsFYI.
> For example:
> # modprobe cifs
> # echo 7 > /proc/fs/cifs/cifsFYI
>
> To disable it:
> # echo 0 > /proc/fs/cifs/cifsFYI
>
> These messages end up in the kernel ring buffer. You can view them
> using dmesg.
Das kann ich auch noch mal probieren. Ich denke, ich habe auch so
erstmal etwas verdächtiges gefunden. Ein Nutzer, dessen .bash_history
einen Timestamp vom 20. Dezember 2016 ist, hat noch cifs mounts aber
keine Prozesse mehr offen. Bei uns wird aller drei Monate das Passwort
erzwungenermaßen geändert - das könnte in der Zwischenzeit also schon
abgelaufen sein. Wenn ich versuche, die mounts zu umounten bekomme ich
folgendes:
# umount /home/nutzer/mount03
umount: /home/nutzer/mount03: target is busy
(In some cases useful info about processes that
use the device is found by lsof(8) or fuser(1).)
# fuser /home/nutzer/mount03
Kann Status von "/home/nutzer/mount03" nicht ermitteln: Der Schlüssel ist nicht mehr gültig
# lsof /home/nutzer/mount03
lsof: status error on /home/nutzer/mount03: Key has expired
# ls -l /home/nutzer | grep mount03
ls: Zugriff auf /home/nutzer/mount03 nicht möglich: Der Schlüssel ist nicht mehr gültig
# ps aux | grep nutzer
root 117283 0.0 0.0 14220 2264 pts/29 S+ 09:13 0:00 grep nutzer
Ich würde erstmal gern diesen mount loswerden und dann mit der Suche
fortsetzen, wenn es das nicht behoben hat. Da es mit einem schlichten
umount nicht geht - was kann ich tun?
Ich habe früher schon mal solche kaputten Mounts bei Nutzern beobachtet,
diese ließen sich aber immer umounten. Ich könnte mir gut vorstellen,
daß die regelmäßige Passwortänderung dieses Problem verursacht. Gibt es
eine Möglichkeit, einen Mountpoint zu umounten sobald er ungültig wird
(wegen des nicht mehr gültigen Passwords). Ich muß zwar sagen, daß ich
diesen wiederholten Passwort-Check nicht nachvollziehen kann, denn wenn
ein Mount einmal gültig authentifiziert war, dann sollte das doch für
alle Zeit so bleiben, oder?
danke erstmal für die hilfreichen Tips.
On Mon, Feb 13, 2017 at 03:39:43PM +0100, Matthias Böttcher wrote:
> https://wiki.samba.org/index.php/LinuxCIFS_troubleshooting
>
> hier besonders:
> To enable debugging,
> echo a non-zero value into /proc/fs/cifs/cifsFYI.
> For example:
> # modprobe cifs
> # echo 7 > /proc/fs/cifs/cifsFYI
>
> To disable it:
> # echo 0 > /proc/fs/cifs/cifsFYI
>
> These messages end up in the kernel ring buffer. You can view them
> using dmesg.
erstmal etwas verdächtiges gefunden. Ein Nutzer, dessen .bash_history
einen Timestamp vom 20. Dezember 2016 ist, hat noch cifs mounts aber
keine Prozesse mehr offen. Bei uns wird aller drei Monate das Passwort
erzwungenermaßen geändert - das könnte in der Zwischenzeit also schon
abgelaufen sein. Wenn ich versuche, die mounts zu umounten bekomme ich
folgendes:
# umount /home/nutzer/mount03
umount: /home/nutzer/mount03: target is busy
(In some cases useful info about processes that
use the device is found by lsof(8) or fuser(1).)
# fuser /home/nutzer/mount03
Kann Status von "/home/nutzer/mount03" nicht ermitteln: Der Schlüssel ist nicht mehr gültig
# lsof /home/nutzer/mount03
lsof: status error on /home/nutzer/mount03: Key has expired
# ls -l /home/nutzer | grep mount03
ls: Zugriff auf /home/nutzer/mount03 nicht möglich: Der Schlüssel ist nicht mehr gültig
# ps aux | grep nutzer
root 117283 0.0 0.0 14220 2264 pts/29 S+ 09:13 0:00 grep nutzer
Ich würde erstmal gern diesen mount loswerden und dann mit der Suche
fortsetzen, wenn es das nicht behoben hat. Da es mit einem schlichten
umount nicht geht - was kann ich tun?
Ich habe früher schon mal solche kaputten Mounts bei Nutzern beobachtet,
diese ließen sich aber immer umounten. Ich könnte mir gut vorstellen,
daß die regelmäßige Passwortänderung dieses Problem verursacht. Gibt es
eine Möglichkeit, einen Mountpoint zu umounten sobald er ungültig wird
(wegen des nicht mehr gültigen Passwords). Ich muß zwar sagen, daß ich
diesen wiederholten Passwort-Check nicht nachvollziehen kann, denn wenn
ein Mount einmal gültig authentifiziert war, dann sollte das doch für
alle Zeit so bleiben, oder?
Martin Steigerwald
Feb 14, 2017, 8:20:02 AM2/14/17
to
Hallo Andreas,
Vielleicht funktioniert:
umount -f
Hilft zumindest bei unerreichbarem NFS-Server, Achtung, Gefahr von
Datenverlust dadurch, dass der Client etwaige ungespeicherte Daten nicht mehr
sichern kann.
oder ggf. umount -l
Siehe Manpage.
Ich überlege gerade, inwiefern sich CIFS mit remount und passenden CIFS-
Optionen ein neues Passwort unterschieben lässt.
"Key has expired" ist nochmal interessant. Kerberos?
Ciao,
--
Martin
umount -f
Hilft zumindest bei unerreichbarem NFS-Server, Achtung, Gefahr von
Datenverlust dadurch, dass der Client etwaige ungespeicherte Daten nicht mehr
sichern kann.
oder ggf. umount -l
Siehe Manpage.
Ich überlege gerade, inwiefern sich CIFS mit remount und passenden CIFS-
Optionen ein neues Passwort unterschieben lässt.
"Key has expired" ist nochmal interessant. Kerberos?
Ciao,
--
Martin
Andreas Tille
Feb 15, 2017, 4:40:03 AM2/15/17
to
Hallo Martin,
On Tue, Feb 14, 2017 at 02:15:04PM +0100, Martin Steigerwald wrote:
> > Ich würde erstmal gern diesen mount loswerden und dann mit der Suche
> > fortsetzen, wenn es das nicht behoben hat. Da es mit einem schlichten
> > umount nicht geht - was kann ich tun?
>
> Vielleicht funktioniert:
>
> umount -f
>
> Hilft zumindest bei unerreichbarem NFS-Server, Achtung, Gefahr von
> Datenverlust dadurch, dass der Client etwaige ungespeicherte Daten nicht mehr
> sichern kann.
>
> oder ggf. umount -l
Letzteres hat es dann gebracht. Danke.
> Siehe Manpage.
Richtig, sorry.
> Ich überlege gerade, inwiefern sich CIFS mit remount und passenden CIFS-
> Optionen ein neues Passwort unterschieben lässt.
>
> "Key has expired" ist nochmal interessant. Kerberos?
Ich kann mit der Frage "Kerberos?" leider nicht viel anfangen.
Vielen Dank auf jeden Fall erstmal für die Hilfe - ich werde jetzt
mal die Logs beobachten.
On Tue, Feb 14, 2017 at 02:15:04PM +0100, Martin Steigerwald wrote:
> > Ich würde erstmal gern diesen mount loswerden und dann mit der Suche
> > fortsetzen, wenn es das nicht behoben hat. Da es mit einem schlichten
> > umount nicht geht - was kann ich tun?
>
> Vielleicht funktioniert:
>
> umount -f
>
> Hilft zumindest bei unerreichbarem NFS-Server, Achtung, Gefahr von
> Datenverlust dadurch, dass der Client etwaige ungespeicherte Daten nicht mehr
> sichern kann.
>
> oder ggf. umount -l
> Siehe Manpage.
Richtig, sorry.
> Ich überlege gerade, inwiefern sich CIFS mit remount und passenden CIFS-
> Optionen ein neues Passwort unterschieben lässt.
>
> "Key has expired" ist nochmal interessant. Kerberos?
Vielen Dank auf jeden Fall erstmal für die Hilfe - ich werde jetzt
mal die Logs beobachten.
0 new messages