pam_mount verhindert su in cron-Jobs
Seit ich auf libpam-mount 1.27-4 auf meinem System (aktuelles
Debian/unstable) installiert habe, bekomme ich Fehlermeldungen von
einigen cron-Jobs.
Diesen cron-Jobs ist gemeinsam, dass sie an irgendeiner Stelle mit su
Befehle als bestimmte Benutzer ausführen. In meinem konkreten Fall sind
das die Benutzer www-data und postgresql. pam_mount verwende ich dafür,
um für "echte", interaktive Benutzer (sprich: mich) die verschlüsselte
/home-Partition (/dev/sda6) zu mounten, was auch nach wie vor
funktioniert.
Wenn ich das Problem richtig verstehe, dann ist es nun so, dass
pam_mount versucht, auch für die Benutzer www-data und postgresql,
/home zu mounten. Das ist erstens unnötig und schlägt zweitens fehl,
weil diese Benutzer gerade keine Passwörter für die Partition haben --
und natürlich können die cron-Skripte keine Passwörter interaktiv
erfragen. S.u. für eine beispielhafte Fehlerausgabe.
Zur Zeit ist meine pam_mount-Konfiguration in der Tat so, dass für alle
Benutzer /home gemountet wird. Mit früheren Versionen von libpam-mount
hat das funktioniert, inzwischen tut es das nicht mehr.
/etc/security/pam_mount.conf.xml
<volume user="*" fstype="crypt" path="/dev/sda6" mountpoint="/home"
options="noatime" />
Ist die korrekte Lösung, dass ich alle "echten" Benutzer explizit in
der Volume-Definition angebe?
<volume user="michael,user2,user3" fstype="crypt" ... />
Könnte ich stattdessen pam_mount beibringen, dass es dieses Volume nur
für Benutzer zu mounten versucht, deren home-Verzeichnis tatsächlich in
/home liegt?
Michael
/etc/cron.daily/dwww:
reenter password for pam_mount:pam_mount(pam_mount.c:516): warning:
could not obtain password interactively either
pam_mount(spawn.c:101): error setting uid to 0
pmvarrun(pmvarrun.c:453): could not unlink /var/run/pam_mount/www-data:
Permission denied
pam_mount(spawn.c:101): error setting uid to 0
pam_mount(mount.c:67): umount messages:
pam_mount(mount.c:71): umount: only root can do that
pam_mount(mount.c:71): umount /home failed with run_sync status 1
pam_mount(mount.c:71): mlockall failed: Cannot allocate memory
pam_mount(mount.c:71): WARNING!!! Possibly insecure memory. Are you
root?
pam_mount(mount.c:71): Command failed: Cannot communicate with device-
mapper. Is the dm_mod module loaded?
pam_mount(mount.c:71): umount.crypt(crypto-dmc.c:168): Could not unload
dm-crypt device "/dev/mapper/_dev_sda6", cryptsetup returned HXproc
status 218
pam_mount(mount.c:698): unmount of /dev/sda6 failed
--
Michael Schuerig
mailto:michael@schuerig.de
http://www.schuerig.de/michael/
Reply to: