>>Не помогло. :)
>>Еще варианты?
>
>Может у тебя есть файлик /etc/nologin (хотя рута все равно пускать должно
>...)?

:) Нету такого файлика... Что же он эдакое сделал-то??? Меня уже просто любопытство разбирает!

>>>Не помогло. :)
>>>Еще варианты?
>>
>>Может у тебя есть файлик /etc/nologin (хотя рута все равно пускать должно
>>...)?
>
>:) Нету такого файлика... Что же он эдакое сделал-то??? Меня уже просто
>любопытство разбирает!

Попробуй посмотреть /etc/security/console.perms и man console.perms

Шелы-то у тебя в /etc/passwd нормальные?

>Попробуй посмотреть /etc/security/console.perms и man console.perms
>
>Шелы-то у тебя в /etc/passwd нормальные?

в console.perms вроде все в порядке.
Шелл - /bin/bash

>>Попробуй посмотреть /etc/security/console.perms и man console.perms
>>
>>Шелы-то у тебя в /etc/passwd нормальные?
>
>в console.perms вроде все в порядке.
>Шелл - /bin/bash

Вообще-то странно что в логах ничего нет

cat /etc/syslog.conf | grep auth
cat /etc/syslog.conf | grep "\*\."

что говорит? а еще лучше весь syslog.conf покажи

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
# iptables messages
kern.=debug            /var/log/iptables.mes
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;news.none;authpriv.none;cron.none    /var/log/messages
# The authpriv file has restricted access.
authpriv.*                /var/log/secure
# Log all the mail messages in one place.
mail.*                    /var/log/maillog
# Log cron stuff
cron.*                    /var/log/cron
# Everybody gets emergency messages, plus log them on another
# machine.
*.emerg                    *
# Save mail and news errors of level err and higher in a
# special file.
uucp,news.crit                /var/log/spooler
# Save boot messages also to boot.log
local7.*                /var/log/boot.log
#
# INN
#
news.=crit                                      /var/log/news/news.crit
news.=err                                       /var/log/news/news.err
news.notice                                     /var/log/news/news.notice

># Log all kernel messages to the console.
># Logging much else clutters up the screen.
># iptables messages
>kern.=debug   /var/log/iptables.mes
># Log anything (except mail) of level info or higher.
># Don't log private authentication messages!
>*.info;mail.none;news.none;authpriv.none;cron.none    /var/log/messages
># The authpriv file has restricted access.
>authpriv.*    /var/log/secure
># Log all the mail messages in one place.
>mail.*     /var/log/maillog
># Log cron stuff
>cron.*     /var/log/cron
># Everybody gets emergency messages, plus log them on another
># machine.
>*.emerg     *
># Save mail and news errors of level err and higher in
>a
># special file.
>uucp,news.crit    /var/log/spooler
># Save boot messages also to boot.log
>local7.*    /var/log/boot.log
>#
># INN
>#
>news.=crit            
>          
>          
>    /var/log/news/news.crit
>news.=err            
>          
>          
>     /var/log/news/news.err
>news.notice            
>          
>          
>   /var/log/news/news.notice

echo "auth.*            /var/log/auth.log" >> /etc/syslog.conf
kill -HUP syslogd
ps -A|grep syslog (работает ?)

пробуем логиниться

cat /var/log/auth.log (что-нибудь там появиться обязательно должно)

>echo "auth.*            /var/log/auth.log" >> /etc/syslog.conf
>kill -HUP syslogd
>ps -A|grep syslog (работает ?)
>
>пробуем логиниться
>
>cat /var/log/auth.log (что-нибудь там появиться обязательно должно)

Oct 10 17:35:54 main xsf[235]: WARNING: xsf: Failed to read config file /dev/tux/ssh2/sshd2_config
Oct 10 17:35:54 main xsf[239]: WARNING: xsf: Failed to read config file /dev/tux/ssh2/sshd2_config
Oct 10 17:35:55 main sshd[245]: Server listening on 0.0.0.0 port 22.
Oct 10 17:36:36 main sshd[847]: Could not reverse map address 192.168.6.13.
Oct 10 17:36:42 main sshd[847]: Accepted password for root from 192.168.6.13 port 1128
Oct 10 17:36:42 main PAM_pwdb[847]: (sshd) session opened for user root by (uid=0)

Но это записи от ssh, а попытки локального входа - как будто их и не было.

>>echo "auth.*            /var/log/auth.log" >> /etc/syslog.conf
>>kill -HUP syslogd
>>ps -A|grep syslog (работает ?)
>>
>>пробуем логиниться
>>
>>cat /var/log/auth.log (что-нибудь там появиться обязательно должно)
>
>Oct 10 17:35:54 main xsf[235]: WARNING: xsf: Failed to read config file
>/dev/tux/ssh2/sshd2_config
>Oct 10 17:35:54 main xsf[239]: WARNING: xsf: Failed to read config file
>/dev/tux/ssh2/sshd2_config
>Oct 10 17:35:55 main sshd[245]: Server listening on 0.0.0.0 port 22.
>Oct 10 17:36:36 main sshd[847]: Could not reverse map address 192.168.6.13.
>Oct 10 17:36:42 main sshd[847]: Accepted password for root from 192.168.6.13 port
>1128
>Oct 10 17:36:42 main PAM_pwdb[847]: (sshd) session opened for user root by
>(uid=0)
>
>
>
>Но это записи от ssh, а попытки локального входа - как будто
>их и не было.

Я пас, остается только надеется на высшие силы (https://www.opennet.ru/openforum//vsluhforumID1/21804.html)

PS последняя попытка реабилитироваться - авторизация локального входа идет у тебя не ч/з pam (посмотри man login - в старых системах, кажется, для  ограничения входа использолвался файл /etc/usertty или что-то похожее...)

>>>echo "auth.*            /var/log/auth.log" >> /etc/syslog.conf
>>>kill -HUP syslogd
>>>ps -A|grep syslog (работает ?)
>>>
>>>пробуем логиниться
>>>
>>>cat /var/log/auth.log (что-нибудь там появиться обязательно должно)
>>
>>Oct 10 17:35:54 main xsf[235]: WARNING: xsf: Failed to read config file
>>/dev/tux/ssh2/sshd2_config
>>Oct 10 17:35:54 main xsf[239]: WARNING: xsf: Failed to read config file
>>/dev/tux/ssh2/sshd2_config
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^- это что за ПОРНОГРАФИЯ!!!!!!!!!!!!!!!!
похоже на то что машину ломанули, надо проверять rootkit, ifconfig,
netstat и тд и тп, что где висит на каких портах, inetd или xinetd

>>Oct 10 17:35:55 main sshd[245]: Server listening on 0.0.0.0 port 22.
>>Oct 10 17:36:36 main sshd[847]: Could not reverse map address 192.168.6.13.
>>Oct 10 17:36:42 main sshd[847]: Accepted password for root from 192.168.6.13 port
>>1128
>>Oct 10 17:36:42 main PAM_pwdb[847]: (sshd) session opened for user root by
>>(uid=0)
>>
>>
>>
>>Но это записи от ssh, а попытки локального входа - как будто
>>их и не было.
>
>Я пас, остается только надеется на высшие силы (https://www.opennet.ru/openforum//vsluhforumID1/21804.html)
>
>PS последняя попытка реабилитироваться - авторизация локального входа идет у тебя не
>ч/з pam (посмотри man login - в старых системах, кажется, для
> ограничения входа использолвался файл /etc/usertty или что-то похожее...)

/dev/tux - похоже на трояна, какой нормальный человек в /dev будет SSH
ставить!?

>>>/dev/tux/ssh2/sshd2_config
>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^- это что за ПОРНОГРАФИЯ!!!!!!!!!!!!!!!!
>похоже на то что машину ломанули, надо проверять rootkit, ifconfig,
>netstat и тд и тп, что где висит на каких портах, inetd
>или xinetd
>
>
>
>/dev/tux - похоже на трояна, какой нормальный человек в /dev будет SSH
>
>ставить!?

Кстати, нет такой папки - /dev/tux

>>>>/dev/tux/ssh2/sshd2_config
>>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^- это что за ПОРНОГРАФИЯ!!!!!!!!!!!!!!!!
>>похоже на то что машину ломанули, надо проверять rootkit, ifconfig,
>>netstat и тд и тп, что где висит на каких портах, inetd
>>или xinetd
>>
>>
>>
>>/dev/tux - похоже на трояна, какой нормальный человек в /dev будет SSH
>>
>>ставить!?
>
>Кстати, нет такой папки - /dev/tux

это чьи были логи, с системы на которой проблемы? ssh там был впоследствии
пересобран?

советую поднять sniffer, настроить логи и демоны запускать с логами:
telnetd/rshd/popd/ftpd/... и проверять что происходит и смотреть по логам