Jump to content
Froxlor Forum
  • 0

SFTP + pam.d Authentication token abgelaufen?


localhorst

Question

Hallo ich habe ein seltsames Problem,

ich nutze aktuell SFTP und ich kann mich nicht mehr einloggen. Ich nutze das FTP-Programm Filezilla.

Journald meldet folgendes:

Zitat

PAM failed: Authentication token is no longer valid; new one required
user@10000.service: Failed to set up PAM session: Operation not permitted
user@10000.service: Failed at step PAM spawning /usr/lib/systemd/systemd: Operation not permitted


 

 

Ich habe versucht das ganze mittels des Befehls "chage" zu beheben aber ohne Erfolg, da er meint der Benutzer XXX steht nicht in der /etc/passwd, womit er ja auch Recht hat. Auch eine Passwortänderung in Froxlor brachte keinen Erfolg, weder beim Adminpasswort nocht beim FTP-Passwort. Auch das Hinzufügen eines neuen Zugangs bringt obige Meldung.

Frage: Wie kann ich nun diesen Token erneuern? Ich komme überall rein, außer in den FTP-Zugang.

 

Link to comment
Share on other sites

8 answers to this question

Recommended Posts

  • 0

Das Problem ist gelöst!

Schuld war libxcrypt mit der Version >= 4.4.21 (Achtung ich benutze ArchLinux). Folgende Newsmeldung ist dort enthalten:

https://www.archlinux.de/news/34044-libxcrypt-und-schwache-Passwortverschluesselungen

Zitat

Ab Version 4.4.21 unterstützt libxcrypt keine scwachen Hashalgorithmen zur Passwortverschlüsselung mehr. Das betrifft die Anmeldung am Betriebssystem. Es kann bei Passwörtern, die noch mit alten Hashes verschlüsselt worden sind, dazu führen, dass man einmalig dazu aufgefordert wird, sein Passwort zu ändern. Displaymanager haben damit so ihre Probleme. Falls man also in Schwierigkeiten beim Anmelden kommt, sollte man sich einmal über ein Terminal anmelden und das Passwort ändern.

Ich habe das ganze mittels "downgrade libxcrypt" auf die Version 4.4.20 gesetzt und schon funktioniert wieder alles. Vielleicht ist es für andere hilfreich. Danke für Deine Hilfe d00p!

 

EDIT: Habe in Froxlor in den Sicherheitseinstellungen nun Sha512 ausgewählt und alle Passwörter neu erstellt. Nun funktioniert alles auch mit der neusten, angebotenen Version von libxcrypt.

Link to comment
Share on other sites

  • 0

Die Client Seite ist hierbei jetzt nicht so froxlors Problem. Was setzt du denn serverseitig für sftp ein? Wie ist der Dienst eingerichtet? Natürlich stehen froxlor User nicht in der /etc/passwd. Gibt es Einträge in entsprechenden Logs auf dem Server? Und und und

 

Link to comment
Share on other sites

  • 0

Erstmal danke für den Hinweis. Für SFTP setze ich den Dienst openSSH ein, falls Du das meinst. Die Einträge für froxlor habe ich gefunden, sie stehen in "/var/lib/extrausers/passwd". Auch in der nsswitch.conf wird auf extrausers verwiesen, das hatte ich direkt aus der Froxlorkonfiguration kopiert und eingefügt.

Der Befehl "chage" kennt keine extrausers also müsste ich wohl irgendwie unter "/etc/pam.d/chage" dem System mitteilen, dass er auch Benutzer in extrausers bearbeiten soll/kann/darf?

Im journal stehen folgende Sachen:

Zitat

systemd[1]: Starting User Manager for UID 10000...
pam_systemd_home(systemd-user:account): Not a user managed by systemd-homed: No home for user froxlortestuser known
PAM failed: Authentication token is no longer valid; new one required
pam_unix(systemd-user:account): expired password for user froxlortestuser (root enforced)
user@10000.service: Failed to set up PAM session: Operation not permitted
user@10000.service: Failed at step PAM spawning /usr/lib/systemd/systemd: Operation not permitted
USER_ACCT pid=6954 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:accounting grantors=? acct="froxlortestuser" exe="/usr/lib/systemd/systemd" hostname=? addr=? terminal=? res=failed'
user@10000.service: Main process exited, code=exited, status=224/PAM
user@10000.service: Failed with result 'exit-code'.
Failed to start User Manager for UID 10000.


 

 

Link to comment
Share on other sites

  • 0

Oh nein sorry, ich sitze eindeutig zu lange an dem Thema und sollte mal lieber schlafen. Ich nutzte vsftp für die FTP-Zugänge. Ich dachte nur immer, dass eine SFTP Verbindung immer über das openssh läuft. Ich nutze aber kein FTPS, nicht das wir jetzt aneinander vorbei reden. 😁

Link to comment
Share on other sites

  • 0

Wenn ich in Froxlor -> Kunden den Benutzer bearbeite und dabei das Passwort ändere, wird das dann sofort in die "/var/lib/extrausers/shadow" geschrieben? Ich habe es schon mehrfach nun versucht aber in der shadow ändert sich irgendwie nichts.

Die PAM Schnittstelle /etc/nsswitch.conf wurde auf extrausers umgemünzt und sieht so aus:

# Make sure that `passwd`, `group` and `shadow` have extrausers in their lines
# You should place extrausers at the end, so that it is queried after the other mechanisams
#
passwd:         compat extrausers
group:          compat extrausers
shadow:         compat extrausers

hosts:       files dns
networks:    files dns

services:    db files
protocols:   db files
rpc:         db files
ethers:      db files
netmasks:    files
netgroup:    files
bootparams:  files

automount:   files
aliases:     files

Die /etc/vsftpd..conf sieht so aus:

listen=YES
listen_port=2223
#listen_ipv6=YES
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
#anon_upload_enable=YES
#anon_mkdir_write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
#chown_uploads=YES
#chown_username=whoever
#xferlog_file=/var/log/vsftpd.log
#xferlog_std_format=YES
idle_session_timeout=600
#data_connection_timeout=120
#nopriv_user=ftpsecure
#async_abor_enable=YES
#ascii_upload_enable=YES
#ascii_download_enable=YES
#deny_email_enable=YES
#banned_email_file=/etc/vsftpd.banned_emails
# chroot_list_enable below.
chroot_local_user=YES
chroot_list_enable=YES
allow_writeable_chroot=YES
#chroot_list_file=/etc/vsftpd.chroot_list
#ls_recurse_enable=YES
secure_chroot_dir=/run/vsftpd/empty
pam_service_name=vsftpd
#ssl_enable=YES
#ssl_tlsv1=YES
#ssl_sslv2=NO
#ssl_sslv3=NO
force_local_data_ssl=NO
force_local_logins_ssl=NO
allow_anon_ssl=NO
require_ssl_reuse=NO
ssl_ciphers=HIGH
pasv_enable=YES
pasv_min_port=41000
pasv_max_port=41020
log_ftp_protocol=YES

 

Link to comment
Share on other sites

  • 0
On 6/20/2021 at 10:07 AM, d00p said:

meinst du wirklich sFTP? seit wann ist openSSH ein ftp server? Meinst du vllt eher SCP?

Pardon, aber da das auch in Suchergebnissen auftaucht (ich kämpfe mit dem gleichen Symptom, allerdings offenbar mit anderem Grund), kann ich nicht umhin hier einmal einzuhaken.

Ja, OpenSSH bringt ein Program sftp-server mit, welches standardmäßig für SFTP-Verbindungen zum Einsatz kommt. Und SFTP hat außer den drei Buchstaben F, T und P (und der Bedeutung dieser Buchstaben) mit dem alten FTP-Protokoll (RFC 959) nichts gemeinsam. Es ist also nicht zu verwechseln mit FTPS (RFC 4217), welches in der Tat einfach nur das alte FTP in einer TLS-Verbindung gekapselt ist.

SCP wird zwar meist angeboten, aber SFTP hat einen größeren Funktionsumfang.

OpenSSH ist also kein FTP-Server, bringt aber schon einen SFTP-Server mit (eben sftp-server als eigenes Programm oder eingebaut als internal-sftp. In der ssh_config konfigurierbar mit:

Subsystem sftp internal-sftp

 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now


×
×
  • Create New...