pam_mount verhindert su in cron-Jobs

To: debian-user-german@lists.debian.org
Subject: pam_mount verhindert su in cron-Jobs
From: Michael Schuerig <michael@schuerig.de>
Date: Sat, 5 Sep 2009 23:17:13 +0200
Message-id: <[🔎] 200909052317.14044.michael@schuerig.de>

Seit ich auf libpam-mount 1.27-4 auf meinem System (aktuelles 
Debian/unstable) installiert habe, bekomme ich Fehlermeldungen von 
einigen cron-Jobs.

Diesen cron-Jobs ist gemeinsam, dass sie an irgendeiner Stelle mit su 
Befehle als bestimmte Benutzer ausführen. In meinem konkreten Fall sind 
das die Benutzer www-data und postgresql. pam_mount verwende ich dafür, 
um für "echte", interaktive Benutzer (sprich: mich) die verschlüsselte 
/home-Partition (/dev/sda6) zu mounten, was auch nach wie vor 
funktioniert.

Wenn ich das Problem richtig verstehe, dann ist es nun so, dass 
pam_mount versucht, auch für die Benutzer www-data und postgresql, 
/home zu mounten. Das ist erstens unnötig und schlägt zweitens fehl, 
weil diese Benutzer gerade keine Passwörter für die Partition haben -- 
und natürlich können die cron-Skripte keine Passwörter interaktiv 
erfragen. S.u. für eine beispielhafte Fehlerausgabe.

Zur Zeit ist meine pam_mount-Konfiguration in der Tat so, dass für alle 
Benutzer /home gemountet wird. Mit früheren Versionen von libpam-mount 
hat das funktioniert, inzwischen tut es das nicht mehr.

/etc/security/pam_mount.conf.xml
<volume user="*" fstype="crypt" path="/dev/sda6" mountpoint="/home"
 options="noatime" />

Ist die korrekte Lösung, dass ich alle "echten" Benutzer explizit in 
der Volume-Definition angebe?

<volume user="michael,user2,user3" fstype="crypt" ... />

Könnte ich stattdessen pam_mount beibringen, dass es dieses Volume nur 
für Benutzer zu mounten versucht, deren home-Verzeichnis tatsächlich in 
/home liegt?

Michael


/etc/cron.daily/dwww:
reenter password for pam_mount:pam_mount(pam_mount.c:516): warning: 
could not obtain password interactively either
pam_mount(spawn.c:101): error setting uid to 0
pmvarrun(pmvarrun.c:453): could not unlink /var/run/pam_mount/www-data: 
Permission denied
pam_mount(spawn.c:101): error setting uid to 0
pam_mount(mount.c:67): umount messages:
pam_mount(mount.c:71): umount: only root can do that
pam_mount(mount.c:71): umount /home failed with run_sync status 1
pam_mount(mount.c:71): mlockall failed: Cannot allocate memory
pam_mount(mount.c:71): WARNING!!! Possibly insecure memory. Are you 
root?
pam_mount(mount.c:71): Command failed: Cannot communicate with device-
mapper. Is the dm_mod module loaded?
pam_mount(mount.c:71): umount.crypt(crypto-dmc.c:168): Could not unload 
dm-crypt device "/dev/mapper/_dev_sda6", cryptsetup returned HXproc 
status 218
pam_mount(mount.c:698): unmount of /dev/sda6 failed

-- 
Michael Schuerig
mailto:michael@schuerig.de
http://www.schuerig.de/michael/

Reply to:

Prev by Date: Re: Mit mogrify font von Dateinamen einbinden
Next by Date: m4a dekodieren in wav
Previous by thread: Re: Mit mogrify font von Dateinamen einbinden
Next by thread: m4a dekodieren in wav
Index(es):
- Date
- Thread