/usr/bin/sshd не связан против PAM в одной из моих систем. Что не так и как я могу зафиксировать его?
Это похоже на Ваш /usr/sbin/sshd двоичный файл был перезаписан.
Это могло означать, что у Вас было нарушение защиты, или возможно кто-то просто скомпилировал версию локально, и версия Ubuntu была перезаписана.
1:4.7p1-8ubuntu1.2 (x86) версия openssh-сервера определенно определенно связан против libpam. Возможно, что поддержка pam была упущена из версии на 64 бита, но это кажется маловероятным.
Я попытался бы переустановить openssh-сервер:
# First back up the current binary
$ sudo cp /usr/sbin/sshd /root/sshd.bak
# reinstall the Ubuntu version
$ sudo apt-get install --reinstall openssh-server
# compare the two versions
$ sudo sha1sum /usr/sbin/sshd /root/sshd.bak
# In my case, they match:
# 8a3ccd5242380674bc45b887286faa3abb51acdb /usr/sbin/sshd
# 8a3ccd5242380674bc45b887286faa3abb51acdb /root/sshd.bak
Если Ваш не соответствуйте друг другу (не мой), существует определенно что-то подозрительное продолжение, и действительно необходимо выяснить где та версия sshd прибыл из.
Если они действительно соответствуют, то я, вероятно, неправ, и это - ошибка в той версии openssh-сервера для 64-разрядной Ubuntu.
Делает /etc/pam.d/sshd существовать? Это - часть openssh-сервера.
Based on the information provided in the question, it looks like your sshd overwriting may not be due to a system compromise, but due to something more benign like a sysadmin trying to change the standard ssh. The reason I suspect this is some admin action, is that the system also has this non-standard ssh package installed:
quest-openssh.
You may run:
dpkg-query -L quest-openssh | grep sshd
and see whether this package contains a file /usr/bin/sshd which has overwritten your openssh server (according to Thedward, and also by my verification, quest openssh installs under /opt, but there's a (low) chance that it was configured differently). In any case, you should ask your sysadmin if he was trying to replace sshd, by what, how, and why.
To sum up my thinking: yes, your sshd has definitely been overwritten, but I think it is a bit hasty to conclude that your system was definitely compromised.
Lastly: how to fix it? Remove the quest-openssh package, reinstall the standard openssh, and ldap-auth-client which uses libpam-ldap support for the standard openssh. Generally, on a debian/ubuntu based system, there's rarely a need to install non-standard, or non-free commercial packages to get open/standard functionality. You can find more information on how to set-up openssh PAM for LDAP here: http://wiki.linuxquestions.org/wiki/Pam_ldap