# Probleme beim Upgraden - sys-libs/pam-0.99.8.1-r1

## November Rain

Hi,

Ich hab hier ein Verständnisproblem beim Updaten von Pam, ich hab mir schon die entsprechende Seite der Gentoo Doku angesehen und auch einen englischen Forenbeitrag hier gefunden. Dieser hat mich nur leider noch mehr verwirrt als endlich Klarheit zu bringen. Kann mir jemand in einfachen Worte erklären was ich nun zu tun habe? 

Gentoo Upgrade Guide:

http://www.gentoo.org/proj/en/base/pam/upgrade-0.99.xml

Forenbeitrag:

https://forums.gentoo.org/viewtopic-t-569675-highlight-pam.html

Fehlermeldung:

```

 * 

 * Your current setup is using the pam_stack module.

 * This module is deprecated and no more supported, and since version

 * 0.99 is no more installed, nor provided by any other package.

 * The package will be built (to allow binary package builds), but will

 * not be installed.

 * Please replace pam_stack usage with proper include directive usage,

 * following the PAM Upgrade guide at the following URL

 *   http://www.gentoo.org/proj/en/base/pam/upgrade-0.99.xml

 * 

 * 

 * ERROR: sys-libs/pam-0.99.8.1-r1 failed.

 * Call stack:

 *   ebuild.sh, line 1670:   Called dyn_preinst

 *   ebuild.sh, line 1107:   Called pkg_preinst

 *   pam-0.99.8.1-r1.ebuild, line 162:   Called die

 * 

 * deprecated PAM modules still used

 * If you need support, post the topmost build error, and the call stack if relevant.

 * A complete build log is located at '/var/tmp/portage/sys-libs/pam-0.99.8.1-r1/temp/build.log'.

 * 

!!! FAILED preinst: 1

```

----------

## Finswimmer

 *Quote:*   

> (The old configuration)
> 
> auth    required     pam_stack.so    service=system-auth
> 
> (Replace it with this)
> ...

 

Dann mal auf  :Smile: 

Such es einfach in /etc und ersetz es und dann geht alles.

Tobi

----------

## November Rain

Leider weiß ich immer noch net so recht was zu tun ist. Alle Dateien in /etc/pam.d/ öffnen und diese eine Zeile ersetzen? 

Steh momentan gewaltig am Schlauch.   :Embarassed: 

----------

## lonF

Du musst alle zeilen in der pam_stack.so vorkommt umschreiben.

Gruß Steven

P.S. Jedenfalls funktionierte das bei mir.

----------

## TheSmallOne

Hm, wenn du PAM anscheinend nicht richtig verstehst, warum benutzt du es dann?

Obwohl vielleicht sollte man eher fragen, wieso Gentoo es als Default installiert. Bei mir jedenfalls fliegt PAM meist als erstes runter, wenn ich irgendwo ein Gentoo neu installiere. Irgendwie macht das das ganze doch nur komplizierter und Komplexität ist auch ein Grund für Konfigurationsfehler.

----------

## Necoro

ich habs gelöst, indem ich einfach geschaut hab zu welchen Paketen die dateien in /etc/pam.d gehören und sie denn jeweils neu gebaut  :Smile:  ...

@TheSmallOne: Wie würde ich es den hinbekommen, das System ohne PAM zum laufen zu bekommen ... ich dachte bisher immer, dass PAM quasi ein integraler Bestandteil ist, ohne den nix geht  :Smile: 

----------

## toralf

```
qfile -o /etc/pam.d/*
```

ist Dein Freund, ich habe die entsprechenden Dateien nach /tmp verschoben und das Update lief problemlos durch.

----------

## ChrisJumper

 *Finswimmer wrote:*   

>  *Quote:*   (The old configuration)
> 
> auth    required     pam_stack.so    service=system-auth
> 
> (Replace it with this)
> ...

 

Genau so hab ich es auch gemacht. Nur hab ich nicht alle Dateien durchsucht sondern mir vorher die verdächtigen Weisen mit qfile -o /etc/pam.d/*, angeschaut. Dann dort genau die entsprechende Zeile geändert und neu emerged.

Damit sie übernommen werden und Pam damit arbeitet muss man allerdings nach dem etc-update neu starten!

Ist cool hier zu sehen wie viele unterschiedliche Lösungsansätze gefunden wurde, das mag ich an Linux :)

----------

## Necoro

 *toralf wrote:*   

> 
> 
> ```
> qfile -o /etc/pam.d/*
> ```
> ...

 

Die Ergebnismenge bei mir war aber leer  :Smile:  (d.h.: ich hatte keine Waisen) ... die pam-dateien der Pakete waren halt nur ein wenig veraltet  :Wink: 

@ChrisJumper: weise und Waise  :Razz:  *scnr*

----------

## TheSmallOne

 *Necoro wrote:*   

> @TheSmallOne: Wie würde ich es den hinbekommen, das System ohne PAM zum laufen zu bekommen ... ich dachte bisher immer, dass PAM quasi ein integraler Bestandteil ist, ohne den nix geht 

 

Naja, im Allgemeinen setze ich erstmal das Useflag "-pam", und mache dann einfach ein "emerge --unmerge pam".

Dannach müssen halt alle Pakete neu kompiliert werden, die vorher von PAM abhingen, mindestens jedoch ein "emerge --newuse shadow", da sonst die Anmeldung am System nicht mehr funktioniert.

----------

## November Rain

 *TheSmallOne wrote:*   

> Hm, wenn du PAM anscheinend nicht richtig verstehst, warum benutzt du es dann?
> 
> Obwohl vielleicht sollte man eher fragen, wieso Gentoo es als Default installiert. Bei mir jedenfalls fliegt PAM meist als erstes runter, wenn ich irgendwo ein Gentoo neu installiere. Irgendwie macht das das ganze doch nur komplizierter und Komplexität ist auch ein Grund für Konfigurationsfehler.

 

Ich kann mich nicht daran erinnern es jemals installiert zu haben. Laut dem Upgradeguide handelt es sich ja um einen wichtigen Bestandteil des Systems also nehm ich an es wurde als Abhängigkeit installiert. 

Danke für die ganzen Tipps, vielleicht kann ja noch wer in ein oder zwei Sätzen erklären was dieses Pam denn jetz genau macht, ausser natürlich mich zum verzweifeln zu bringen  :Smile: 

----------

## November Rain

 *Necoro wrote:*   

>  *toralf wrote:*   
> 
> ```
> qfile -o /etc/pam.d/*
> ```
> ...

 

```

Horst michel # qfile -o /etc/pam.d/*

Horst michel # 

```

Kann ich das jetz einfach unmergen und das "-pam" Useflag nutzen?

----------

## ChrisJumper

 *November Rain wrote:*   

> 
> 
> ```
> 
> Horst michel # qfile -o /etc/pam.d/*
> ...

 

Hmm.. also wenn du PAM jetzt doch nicht runterwerfen willst benutz egrep zum Auffinden der entsprechenden Dateien.

```
# cd /etc/pam.d/

# egrep -i pam_stack ./*

```

PAM ist eine Schnittstelle für Programme, die ihre Benutzer irgendwie authentifizieren müssen. Wenn dir der Begriff nichts sagt, lies ihn dir einfach auch durch. Ist im PAM-Wikipedia-Artikel verlinkt.

Ich finde PAM eigentlich praktisch, allerdings nur wenn man es irgendwie benutzt. Ich finde es komfortabel das man z.B. mit Zusätzen wie die cracklib Passwort-Eigenschaften begrenzen kann. Also z.B. wie viele Zeichen (min, max) oder Sonderzeichen drin sein müssen.

Andere Beispiele: Sich ohne Passwort (shared Keys) via ssh anmelden oder wenn man unter Verwendung von knock und iptables ein Portknocking (Der ssh-Port wird erst freigegeben wenn man tcp/udp-Pakete in der "richtigen Kombination" Zeit und Reihenfolge an den Server schickt) realisiert. Keine Ahnung wie man das ohne machen könnte.

Wenn du PAM doch deinstallieren willst geh wie TheSmallOne eben beschrieben hat.

 *Necoro wrote:*   

> 
> 
> @ChrisJumper: weise und Waise :P *scnr*

 

Danke, Necoro ich hab immer Probleme mit der Rechtschreibung und bin für jeden Hinweis dankbar, besonders wenn sie von meinem spell-check verständlicherweise nicht erkannt werden.

----------

## TheSmallOne

 *ChrisJumper wrote:*   

> Ich finde PAM eigentlich praktisch, allerdings nur wenn man es irgendwie benutzt. Ich finde es komfortabel das man z.B. mit Zusätzen wie die cracklib Passwort-Eigenschaften begrenzen kann. Also z.B. wie viele Zeichen (min, max) oder Sonderzeichen drin sein müssen.
> 
> Andere Beispiele: Sich ohne Passwort (shared Keys) via ssh anmelden oder wenn man unter Verwendung von knock und iptables ein Portknocking (Der ssh-Port wird erst freigegeben wenn man tcp/udp-Pakete in der "richtigen Kombination" Zeit und Reihenfolge an den Server schickt) realisiert. Keine Ahnung wie man das ohne machen könnte.

 

Also Beschränkungen beim Passwort angeben oder so kann man auch ohne PAM (shadow selbst hat ein useflag für cracklib). Und SSH funktioniert auch wesentlich besser ohne.

Ich sehe PAM mehr als etwas für Leute, die wirklich außergewöhnliche Authentifizierungsmechanismen benötigen. Z.B. einen Fingerabdruckscanner am Laptop, oder einen Kartenleser mit Zugangskarte am PC. Also alles, wo normale Passwortanmeldung am System (oder Public Keys per SSH) nicht mehr ausreicht.

Für den Otto-Normal User, der einfach zur Anmeldung sein Passwort eintippen "möchte", scheint es mir einfach als Overkill und durch die komplexere Konfiguration eher sicherheitsgefährdend zu sein.

----------

## VeS_Blade

 *TheSmallOne wrote:*   

>  *Necoro wrote:*   @TheSmallOne: Wie würde ich es den hinbekommen, das System ohne PAM zum laufen zu bekommen ... ich dachte bisher immer, dass PAM quasi ein integraler Bestandteil ist, ohne den nix geht  
> 
> Naja, im Allgemeinen setze ich erstmal das Useflag "-pam", und mache dann einfach ein "emerge --unmerge pam".
> 
> Dannach müssen halt alle Pakete neu kompiliert werden, die vorher von PAM abhingen, mindestens jedoch ein "emerge --newuse shadow", da sonst die Anmeldung am System nicht mehr funktioniert.

 

gibt es eine möglichkeit die pakete anzuzeigen die pam verwenden, wenn man nicht weiß, welche das sind?

----------

## Knieper

Mit udept "dep -L pam".

----------

## VeS_Blade

ok, jetzt hab ich allerdings ein problem   :Confused: 

pam flag entfernt, pam geunmerged, shadow neu emerged und neu gestartet:

http://img95.imageshack.us/my.php?image=img2654vu4.jpg

/edit:

bei strg+d startet sich das system übrigens nur neu, root-passwort wird nicht akzeptiert

----------

## Finswimmer

LiveCD rein, chrooten und dann ein revdep-rebuild

Tobi

----------

## VeS_Blade

danke  :Wink:  auf das chrooten hätte ich auch kommen können. allerdings gibts revdep-rebuild nicht. brauch ich dafür gentoolkit?

----------

## Finswimmer

 *VeS_Blade wrote:*   

> danke  auf das chrooten hätte ich auch kommen können. allerdings gibts revdep-rebuild nicht. brauch ich dafür gentoolkit?

 

Ja.

----------

