Пароль эскалации sudo не работает - / etc / shadow hash ok, group ok, / etc / sudoers ok
rm -r /var/lock/subsys/pptpd
service pptpd start
Это должно сработать
Совет от @steve о проблеме в /etc/pam.d был правильным.
Проблема заключалась в ранее работавшей модификации /etc/pam.d/common -auth, которая позволяла отправлять выдержки из файла журнала по электронной почте.
# here are the per-package modules (the "Primary" block)
auth [success=1 default=ignore] pam_unix.so nullok_secure
# ADDED HOOK NOW REMOVED
auth optional pam_exec.so seteuid /etc/local/lib/pam_auth_fail_notify.sh
# here's the fallback if no module succeeds
auth requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth required pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config
AFIR, этот и другие файлы в /etc/pam.d содержат последовательные инструкции, которые помещают возвращаемые значения в стек -его непросто понять, он ненадежен и, по-видимому, чувствителен к обновлениям.
Смысл размещения модификации заключался в том, чтобы захватить как sudo , так и логин(и ssh ключ логин? )отказов в одной точке. Это было то, что я где-то видел на Stack Exchange... Теперь я буду реализовывать каждую из этих функций отдельно ортодоксальными способами. Плохо sudo s легко -Мне нужны были только эти две строки в /etc/sudoers
Defaults mail_badpass
Defaults mailerpath="/usr/local/sbin/sendmail"
В моем случае этот sendmail не является стандартным -он отправляет через API на бесплатную почтовую службу. Для ортодоксальной почтовой установки эта линия не требуется.
Проблема с настройкой pam, скорее всего, возникла из-за нового способа сборки pam в Ubuntu -[success=1 default=ignore].
Если pam _unix завершается успешно, пропустить 1 строку. Он ожидал пропустить pam _deny, но вместо этого пропустил pam _exec, а затем выполнил pam _deny. Если бы вы переместили pam _exec между pam _Deny и pam _Success, это, вероятно, сработало бы так, как ожидалось.