如何在 14.04 中恢复损坏的权限?

如何在 14.04 中恢复损坏的权限?

我正在运行 Ubuntu 14.04.3 32 位操作系统。几个月前,我想从源代码安装 QTCAM,它需要 systemd 库文件。如您所知,14.04 Ubuntu 尚未使用 systemd,因此,正如作者所说,我编译并安装了它的 systemd218 版本。
我设置了前缀本地路径以免弄乱系统配置。我编译并安装了它。下次启动时,它无法登录到默认用户会话。它无法访问~/.cache目录。当我通过登录到文本模式将其删除时,我就可以登录到默认用户会话。登录后,我尝试了很多方法来修复它。我从 systemd218 源文件夹中执行了此操作,sudo make uninstall 希望它能回滚更改,但什么也没发生。

我重新安装了所有与 pam 相关的软件包。我运行sudo pam-auth-update以修复授权问题。

我访问了许多论坛并阅读了错误报告。尽管我的问题源于已知原因,但我遇到了许多类似的症状,却没有一个通用的解决方法。

我在 systemd218 源目录中找到了 systemd218 安装的共享库,例如

find -name  *.so
./.libs/id128.so
./.libs/_journal.so
./.libs/_reader.so
./.libs/libgudev-1.0.so
./.libs/_daemon.so
./.libs/login.so
./.libs/libsystemd.so
./.libs/pam_systemd.so
./.libs/libudev.so

并重新安装每个包含来自 synaptic 的软件包。

我还找到了 conf 文件,它们有很多。

find -name  *.conf
./sysusers.d/basic.conf
./sysusers.d/systemd.conf
./sysusers.d/systemd-remote.conf
./src/timesync/timesyncd.conf
./src/core/org.freedesktop.systemd1.conf
./src/core/system.conf
./src/core/user.conf
./src/journal-remote/journal-upload.conf
./src/journal-remote/journal-remote.conf
./src/resolve/org.freedesktop.resolve1.conf
./src/resolve/resolved.conf
./src/locale/org.freedesktop.locale1.conf
./src/login/logind.conf
./src/login/org.freedesktop.login1.conf
./src/hostname/org.freedesktop.hostname1.conf
./src/bootchart/bootchart.conf
./src/udev/udev.conf
./src/journal/coredump.conf
./src/journal/journald.conf
./src/machine/org.freedesktop.machine1.conf
./src/timedate/org.freedesktop.timedate1.conf
./test/bus-policy/hello.conf
./test/bus-policy/methods.conf
./test/bus-policy/test.conf
./test/bus-policy/signals.conf
./test/bus-policy/check-own-rules.conf
./test/bus-policy/ownerships.conf
./test/bus-policy/many-rules.conf
./sysctl.d/50-default.conf
./sysctl.d/50-coredump.conf
./factory/etc/nsswitch.conf
./tmpfiles.d/var.conf
./tmpfiles.d/etc.conf
./tmpfiles.d/x11.conf
./tmpfiles.d/systemd-nologin.conf
./tmpfiles.d/tmp.conf
./tmpfiles.d/systemd.conf
./tmpfiles.d/legacy.conf
./tmpfiles.d/systemd-remote.conf

最重要的肯定是 udev 规则。我觉得其中一个破坏了我的系统

find -name  *.rules 
./src/login/71-seat.rules
./src/login/73-seat-late.rules
./src/login/70-uaccess.rules
./src/login/70-power-switch.rules
./src/vconsole/90-vconsole.rules
./rules/60-persistent-serial.rules
./rules/60-persistent-alsa.rules
./rules/80-net-setup-link.rules
./rules/61-accelerometer.rules
./rules/50-udev-default.rules
./rules/60-persistent-input.rules
./rules/80-drivers.rules
./rules/60-persistent-storage-tape.rules
./rules/75-probe_mtd.rules
./rules/75-tty-description.rules
./rules/70-mouse.rules
./rules/60-cdrom_id.rules
./rules/95-udev-late.rules
./rules/60-drm.rules
./rules/42-usb-hid-pm.rules
./rules/75-net-description.rules
./rules/99-systemd.rules
./rules/60-persistent-v4l.rules
./rules/60-keyboard.rules
./rules/64-btrfs.rules
./rules/60-persistent-storage.rules
./rules/78-sound-card.rules

它有许多其他症状,例如:

  • Gui 应用程序不提示提升权限的用户输入密码。例如,当我在users-admin窗口中单击帐户类型 -> 更改按钮时,什么也没有发生(gksu 运行正常)
  • 当我在设备列表中单击分区时,Nautilus 不会挂载分区。我得到“无权执行操作”错误。
  • Lightdm 背景图像无法根据用户壁纸更新。
  • 当我单击 nm-applet 信息部分时我得到“未找到活动连接”尽管网络自动连接,但仍出现错误。
  • 如果没有 root 权限,则无法重新启动,必须sudo​​使用以下命令重新启动:

      dbus-send --system --print-reply --dest="org.freedesktop.ConsoleKit" /org/freedesktop/ConsoleKit/Manager org.freedesktop.ConsoleKit.Manager.Restart
    

我明白了

      org.freedesktop.ConsoleKit.Manager.NotPrivileged: Not Authorized error.

我喜欢我的桌面会话,我不想重新安装整个系统。虽然输入 root 权限来运行某些应用程序很不舒服,但如果有聪明人找不到解决方案,我可以忍受。

编辑:

 dpkg -l | grep 'pol.*kit'
 ii  gir1.2-polkit-1.0                                           0.105-4ubuntu3.14.04.1                                   i386         GObject introspection data for PolicyKit
 ii  libpolkit-agent-1-0:i386                                    0.105-4ubuntu3.14.04.1                                   i386         PolicyKit Authentication Agent API
 ii  libpolkit-backend-1-0:i386                                  0.105-4ubuntu3.14.04.1                                   i386         PolicyKit backend API
 ii  libpolkit-gobject-1-0:i386                                  0.105-4ubuntu3.14.04.1                                   i386         PolicyKit Authorization API
 ii  libpolkit-qt-1-1                                            0.103.0-1ubuntu1                                         i386         PolicyKit-qt-1 library
 ii  plainbox-secure-policy                                      0.5.3-2                                                  all          policykit policy required to use plainbox (secure version)
 ii  policykit-1                                                 0.105-4ubuntu3.14.04.1                                   i386         framework for managing administrative policies and privileges
 ii  policykit-1-gnome                                           0.105-1ubuntu4                                           i386         GNOME authentication agent for PolicyKit-1
 ii  policykit-desktop-privileges                                0.17                                                     all          run common desktop actions without password

EDIT2:正如 Steeldriver 直觉地引导我走上正确的道路

   /usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1

无法启动:

   /usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1 

   (polkit-gnome-authentication-agent-1:10331): Gtk-WARNING **: Theme parsing error: unity.css:111:9: 'shade' is not a valid property name 

   (polkit-gnome-authentication-agent-1:10331): polkit-gnome-1-WARNING **: Unable to determine the session we are in: No session for pid 10331

我用lightdm 显示管理器gnome-cairo-dock会议。

我尝试exec gnome-session &在终端运行,这给了我更多的线索。

我得到以下输出:

   (gnome-session:23129): Gtk-WARNING **: Theme parsing error: unity.css:111:9: 'shade' is not a valid property name 

   (gnome-session-check-accelerated:23133): Gtk-WARNING **: Theme parsing error: unity.css:111:9: 'shade' is not a valid property name 
   gnome-session[23129]: WARNING: Could not get session id for session. Check that logind is properly installed and pam_systemd is getting used at login.

編輯:3

我添加了/etc/pam.d/*文件。我以为sudo pam-auth-update --force会修复 pam 配置,但是当我修改时umask=0022umask=022/etc/pam.d/common-session没有注意到修改,也没有发出任何警告。

$ grep '^[^#]' /etc/pam.d/common-auth | sed 's/^/    /' 
auth    [success=3 default=ignore]  pam_unix.so nullok_secure
auth    [success=2 default=ignore]  pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth    [success=1 default=ignore]  pam_ldap.so minimum_uid=1000 use_first_pass
auth    requisite           pam_deny.so
auth    sufficient      pam_usb.so
auth    required            pam_permit.so
auth    optional    pam_mount.so 
auth    optional            pam_smbpass.so migrate
auth    optional            pam_cap.so 


$ grep '^[^#]' /etc/pam.d/common-account  | sed 's/^/    /' 
account [success=2 new_authtok_reqd=done default=ignore]    pam_unix.so 
account [success=1 new_authtok_reqd=done default=ignore]    pam_winbind.so 
account requisite           pam_deny.so
account required            pam_permit.so
account [success=ok new_authtok_reqd=done ignore=ignore user_unknown=ignore authinfo_unavail=ignore default=bad]    pam_ldap.so minimum_uid=1000


$ grep '^[^#]' /etc/pam.d/common-session  | sed 's/^/    /' 
session [default=1]         pam_permit.so
session requisite           pam_deny.so
session required            pam_permit.so
session optional            pam_umask.so    umask=0022
session required                pam_unix.so try_first_pass  nullok_secure 
session required    pam_unix.so 
session optional            pam_winbind.so 
session optional    pam_mount.so 
session [success=ok default=ignore] pam_ldap.so minimum_uid=1000
session optional    pam_systemd.so 
session optional            pam_ck_connector.so nox11


$ grep '^[^#]' /etc/pam.d/common-password |   sed 's/^/    /' 
password    [success=3 default=ignore]  pam_unix.so obscure sha512
password    [success=2 default=ignore]  pam_winbind.so use_authtok try_first_pass
password    [success=1 default=ignore]  pam_ldap.so minimum_uid=1000 try_first_pass
password    requisite           pam_deny.so
password    required            pam_permit.so
password    optional            pam_smbpass.so nullok use_authtok use_first_pass
password    optional    pam_gnome_keyring.so 

症状和建议的解决方案几乎与此相同漏洞

其中一个人声称附加

 session         required        pam_loginuid.so
 session         required        pam_systemd.so

行来/etc/pam.d/lightdm修复错误。我试过了,但它破坏了 lightdm,我甚至无法用它登录。

$ grep '^[^#]' /etc/pam.d/lightdm |   sed 's/^/    /' 
auth    requisite       pam_nologin.so
auth    sufficient      pam_succeed_if.so user ingroup nopasswdlogin
@include common-auth
auth    optional        pam_gnome_keyring.so
auth    optional        pam_kwallet.so
@include common-account
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
session required        pam_limits.so
@include common-session
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
session optional        pam_gnome_keyring.so auto_start
session optional        pam_kwallet.so auto_start
session required        pam_env.so readenv=1
session required        pam_env.so readenv=1 user_readenv=1 envfile=/etc/default/locale
@include common-password

編輯:4

今天当我看到udevsystemd包中的更新我以为我很幸运,认为更新可以解决问题,但不幸的是什么都没有改变。

以下是更新后的软件包:

gir1.2-gudev-1.0 (1:204-5ubuntu20.17) to 1:204-5ubuntu20.18
libgudev-1.0-0 (1:204-5ubuntu20.17) to 1:204-5ubuntu20.18
libgudev-1.0-dev (1:204-5ubuntu20.17) to 1:204-5ubuntu20.18
libpam-systemd (204-5ubuntu20.17) to 204-5ubuntu20.18
libsystemd-daemon-dev (204-5ubuntu20.17) to 204-5ubuntu20.18
libsystemd-daemon0 (204-5ubuntu20.17) to 204-5ubuntu20.18
libsystemd-id128-0 (204-5ubuntu20.17) to 204-5ubuntu20.18
libsystemd-id128-dev (204-5ubuntu20.17) to 204-5ubuntu20.18
libsystemd-journal0 (204-5ubuntu20.17) to 204-5ubuntu20.18
libsystemd-login-dev (204-5ubuntu20.17) to 204-5ubuntu20.18
libsystemd-login0 (204-5ubuntu20.17) to 204-5ubuntu20.18
libudev-dev (204-5ubuntu20.17) to 204-5ubuntu20.18
libudev1 (204-5ubuntu20.17) to 204-5ubuntu20.18
python-systemd (204-5ubuntu20.17) to 204-5ubuntu20.18
systemd-services (204-5ubuntu20.17) to 204-5ubuntu20.18
udev (204-5ubuntu20.17) to 204-5ubuntu20.18

那么,可能存在什么问题呢?

編輯:5

今天我注意到,问题出现后,当我尝试设置更宽松的作者身份时,我错误地将所有权写成了“/etc/polkit-1/localauthority我发行” sudo chown -R 777 /etc/polkit-1,而不是“我sudo chmod -R 755 /etc/polkit-1”。我将其设置为sudo chown root:root -R /etc/polkit-1“今天”。

顺便说一句,我注意到这/usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1并不那么重要。我甚至删除了包含它的包(policykit-1-gnome)。我测试了它是否有任何变化,没有任何变化。然后我删除了它consolekit以查看它的功能,当我删除它并重新安装 apt-get 时policykit-1-gnome,berevityconsolekit对解决我遇到的身份验证问题没有任何影响。

我不知道这是否重要,以下是列表pam-auth-update

 │    [*] Unix authentication                                                       
 │    [*] Winbind NT/Active Directory authentication   
 │    [*] Mount volumes for user                                              
 │    [*] LDAP Authentication                                                       
 │    [*] Register user sessions in the systemd control group hierarchy  
 │    [*] SMB password synchronization                                               
 │    [*] GNOME Keyring Daemon - Login keyring management  
 │    [*] ConsoleKit Session Management                                 
 │    [*] Inheritable Capabilities Management                  

編輯:6

我开始认为这与我对文件系统的修改无关。我注意到暴发户作业没有运行。是否与暴发户->systemdinit 进程的转换?

因为

 echo $UPSTART_SESSION

 initctl list-sessions

返回空字符串。

我想知道我的系统如何启动?

答案1

Ubuntu Live Media 具有重新安装功能。

启动实时 CD 或 USB 并开始安装。选择在安装过程中安装软件包更新的选项。最后,您将遇到一个问题,询问您是否要“重新安装 Ubuntu”。选择该选项将使安装程序尝试不擦除您现有的系统。

相关内容