Re: Massenhaft NT_STATUS_LOGON_FAILURE im syslog

To: debian-user-german@lists.debian.org
Subject: Re: Massenhaft NT_STATUS_LOGON_FAILURE im syslog
From: Andreas Tille <andreas@an3as.eu>
Date: Tue, 14 Feb 2017 09:21:20 +0100
Message-id: <[🔎] 20170214082120.GG25513@an3as.eu>
In-reply-to: <[🔎] CAFBm81oOu6E5acKUY3LmsLjd5A58qR1ReAKu7NwbruqsrPkpqA@mail.gmail.com>
References: <[🔎] 20170213110816.GC14215@an3as.eu> <[🔎] CAFBm81rEj5MbN7i3meo6nAtPGRbHa2JjAtZ560HxVOH8kqAw0A@mail.gmail.com> <[🔎] 20170213133333.GF14215@an3as.eu> <[🔎] CAFBm81rEazesnoKm9iaoJfY_EJWZsAtVTAxeqTmaWFdE0E2yng@mail.gmail.com> <[🔎] CAFBm81oOu6E5acKUY3LmsLjd5A58qR1ReAKu7NwbruqsrPkpqA@mail.gmail.com>

Hallo,

danke erstmal für die hilfreichen Tips.

On Mon, Feb 13, 2017 at 03:39:43PM +0100, Matthias Böttcher wrote:
> https://wiki.samba.org/index.php/LinuxCIFS_troubleshooting
> 
> hier besonders:
>    To enable debugging,
>    echo a non-zero value into /proc/fs/cifs/cifsFYI.
>    For example:
>    # modprobe cifs
>    # echo 7 > /proc/fs/cifs/cifsFYI
> 
>    To disable it:
>    # echo 0 > /proc/fs/cifs/cifsFYI
> 
>   These messages end up in the kernel ring buffer. You can view them
> using dmesg.

Das kann ich auch noch mal probieren.  Ich denke, ich habe auch so
erstmal etwas verdächtiges gefunden.  Ein Nutzer, dessen .bash_history
einen Timestamp vom 20. Dezember 2016 ist, hat noch cifs mounts aber
keine Prozesse mehr offen.  Bei uns wird aller drei Monate das Passwort
erzwungenermaßen geändert - das könnte in der Zwischenzeit also schon
abgelaufen sein.  Wenn ich versuche, die mounts zu umounten bekomme ich
folgendes:

# umount /home/nutzer/mount03
umount: /home/nutzer/mount03: target is busy
        (In some cases useful info about processes that
         use the device is found by lsof(8) or fuser(1).)
# fuser /home/nutzer/mount03
Kann Status von "/home/nutzer/mount03" nicht ermitteln: Der Schlüssel ist nicht mehr gültig
# lsof /home/nutzer/mount03
lsof: status error on /home/nutzer/mount03: Key has expired
# ls -l /home/nutzer | grep mount03
ls: Zugriff auf /home/nutzer/mount03 nicht möglich: Der Schlüssel ist nicht mehr gültig
# ps aux | grep nutzer
root     117283  0.0  0.0  14220  2264 pts/29   S+   09:13   0:00 grep nutzer

Ich würde erstmal gern diesen mount loswerden und dann mit der Suche
fortsetzen, wenn es das nicht behoben hat.  Da es mit einem schlichten
umount nicht geht - was kann ich tun?

Ich habe früher schon mal solche kaputten Mounts bei Nutzern beobachtet,
diese ließen sich aber immer umounten.  Ich könnte mir gut vorstellen,
daß die regelmäßige Passwortänderung dieses Problem verursacht.  Gibt es
eine Möglichkeit, einen Mountpoint zu umounten sobald er ungültig wird
(wegen des nicht mehr gültigen Passwords).  Ich muß zwar sagen, daß ich
diesen wiederholten Passwort-Check nicht nachvollziehen kann, denn wenn
ein Mount einmal gültig authentifiziert war, dann sollte das doch für
alle Zeit so bleiben, oder?

Viele Grüße

        Andreas.

-- 
http://fam-tille.de

Reply to:

Follow-Ups:
- Re: Massenhaft NT_STATUS_LOGON_FAILURE im syslog
  - From: Martin Steigerwald <martin@lichtvoll.de>

References:
- Massenhaft NT_STATUS_LOGON_FAILURE im syslog
  - From: Andreas Tille <andreas@an3as.eu>
- Re: Massenhaft NT_STATUS_LOGON_FAILURE im syslog
  - From: Matthias Böttcher <matthias.boettcher@gmail.com>
- Re: Massenhaft NT_STATUS_LOGON_FAILURE im syslog
  - From: Andreas Tille <andreas@an3as.eu>
- Re: Massenhaft NT_STATUS_LOGON_FAILURE im syslog
  - From: Matthias Böttcher <matthias.boettcher@gmail.com>
- Re: Massenhaft NT_STATUS_LOGON_FAILURE im syslog
  - From: Matthias Böttcher <matthias.boettcher@gmail.com>

Prev by Date: Re: [OT] Re: Degressive Proportionalität der Höflichkeit und des Respekt auf dieser Liste
Next by Date: Höflichkeit und des Respekt auf dieser Liste
Previous by thread: Re: Massenhaft NT_STATUS_LOGON_FAILURE im syslog
Next by thread: Re: Massenhaft NT_STATUS_LOGON_FAILURE im syslog
Index(es):
- Date
- Thread