Probleme mit PAM

Hallo alle zusammen,

ich möchte mich zunächst kurz vorstellen:
Ich heiße Max, bin 20 Jahre alt und studiere im Moment im 2. Semester Physik. Seit April 2006 miete ich einen dedizierten Server der mich die letzten Tage verzweifeln lässt...

Seit einigen Tagen scheint das PAM Probleme zu machen. Alle Prozesse welche diese Art der Benutzerauthentifizierung nutzen funktionieren teils nicht mehr und teils sehr langsam. Hin und wieder funktioniert jedoch alles einwandfrei. Insbesondere betroffen sind POP3 (qpopper), FTP (ProFTP) und sshd. Das komische ist: IMAP (Dovecot) benutzt auch PAM, funktioniert jedoch einwandfrei.
PAM authentifiziert gegen passwd und shadow. Die Größe der Benutzerdatenbank schließe ich als Ursache aus. Mit nicht ganz 50 Benutzern ist das für Server-Verhältnisse ziemlich klein.

Ich habe schon die Dokumentationen durchwälzt und Google heiß gesucht, aber nichts gefunden.
Meine erste Vermutung war, dass ein schlampig programmierter Daemon den Arbeitsspeicher (schlappe 1GB) zugemüllt hat. Aber das Deaktivieren aller nicht dringend benötigter Deamons und sogar ein Neustart des Systems haben nicht geholfen. Hinweise auf einen Einbruch gibt es auch nicht.

Hat jemand eine Idee woran das liegen könnte und wie man daran etwas ändern könnte? Tiefgreifende Veränderungen möchte ich möglichst vermeiden, da der Server produktiv genutzt wird und nicht lange ausfallen darf.

Auf dem Server (Hetzner DS 3000) läuft openSUSE 10.2. Bevor ich den Server gemietet habe, hatte ich schon einige Erfahrungen im administrieren kleinerer Netzwerkserver (Routing, Dateifreigabe, Fax-Server, etc...) gesammelt und denke in der Zwischenzeit recht fitt zu sein. Aber das Problem lässt mich verzweifeln...

Schon mal vielen Dank!

MfG

Max

Na wenn der Login mal nicht geht, Uhrzeit aufschreiben, und später dann in /var/log/messages gucken. Wenn kein Einbruch da war, dann wird da auch was zu stehen (mindestens "login failed for user XYZ" oder ähnliches).

Danke für die schnelle Antwort! Allerdings ist in der Logdatei nur
"Authentication failure" ohne Gründe vermerkt:
Jun 26 18:14:41 www proftpd[17154]: www.[...].de ([...]) - PAM([...]): Authentication failure.

Vielleicht ist der ftpd da falsch konfiguriert. Am besten prüft man das, in dem man sich an der Konsole (z.B. tty1) anmeldet. Oder per ssh. Wenn das geht, naja, dann weiterschau'n.

Wie gesagt: Es ist fast alles betroffen, was PAM benutzt. Zum ersten mal ist mir das aufgefallen, weil ich keine Mails mehr über POP3 empfangen konnte. Dann ist mir aufgefallen, dass ich mich nicht mehr ordentlich per SSH anmelden kann, FTP das gleiche...
Aber in messages kein Hinweis auf eine Fehlerursache oder auf einen Einbruch. Dagegen habe ich den Server auch weitesgehend abgesichert.

Wenn ich mich per Telnet an den einzelnen Services anmelde ist auch ganz klar erkennbar, dass nach der Übertragung des Passwortes nichts mehr kommt. Und dann ist es glückssache ob erst das Timeout oder die Erfolgsmeldung erfolgt.

Vielen Dank für deine Antworten!

Gab es in letzter Zeit ein pam-Update?
=> Installationslog

Das Installation von pam mal verifiziert?
rpm -V ... (man rpm)

Hmm... Also ich bekomme bei allen Dateien ein time mismatch und bei diesen vier Dateien ein link path mismatch:

....L... c /etc/pam.d/common-account
....L... c /etc/pam.d/common-auth
....L... c /etc/pam.d/common-password
....L... c /etc/pam.d/common-session

Da habe ich eben nachgesehen. Die Links zeigen auf /etc/pam.d/commom-...-pc
Erstellt wurden alle Dateien am 20. Februar. Das kommt hin, da ich zu dieser Zeit den Server neu aufgesetzt hatte (mein Sicherheitsempfinden war damals noch nicht so sensibilisiert was zu einem Einbruch per Brutforce-Attacke aus Afrika führte). Seltsamerweise zeigen allerding einige Dateien aus diesem Verzeichnis auf 25./26. November 2006. Da hat es diese Installationsumgebung aber noch nicht gegeben.
Das Datum des Verzeichnisses selbst ist der 5. Mai.
Ich dachte jetzt erst, dass das das Datum war an dem ich dovecot installiert habe. Das dovecot-Modul ist allerdings vom 20. April. Gute Frage was da am 5. Mai noch am Verzeichnis geändert wurde...

Was soll mir das jetzt sagen? Immerhin scheinen die MD5-Summen ok zu sein.

Nachtrag: /var/log/messages sagt mir, dass ich doch am 5. Mai dovecot installiert habe.

Ohje, da liegt scheinbar doch noch mehr im argen. Procmail verweigert nun auch seinen Dienst, d.h. der Spamfilter funktioniert nicht mehr. Spamassassin markiert Junkmails zwar, aber Procmail filtert sie nicht mehr raus. Das ging bis vor ein paar Tagen allerdings einwandfrei. Auch dazu gibt es in den Logdateien keine Anhaltspunkte, warum die nicht mehr in den Spam-Ordner verschoben werden.
Ich fürchte es wird wohl doch das beste sein mir am Wochenende eine Nacht Zeit zu nehmen und den Server von Grund auf neu zu installieren. Da ich tägliche Backups auf einem extra Backupserver lagere sollte das kein Problem werden. Ist halt aufwendig alle Services wieder per Hand installieren zu müssen (von der fertigen LAMP-Installation unter SuSE bin ich nicht sehr begeistert. Ich finde die Installationspfade sind zu unstrukturiert und die installierte PHP-Version ordentlich einzurichten, so dass sie genau das tut was man möcht, ist praktisch unmöglich. Daher installiere ich diese Dinge lieber per Hand). Naja, da werde ich wohl durch müssen.

Trotzdem vielen Dank für die Hilfe!