Hướng dẫn khắc phục lỗi “passwd: Authentication token manipulation error” trên Linux nhanh chóng

“passwd: Authentication token manipulation error” là lỗi xảy ra khi hệ thống không thể ghi mật khẩu mới vào file cơ sở dữ liệu /etc/shadow, thường do sai quyền hạn, ổ cứng đầy hoặc lỗi file hệ thống. Trong bài viết này, mình sẽ giúp bạn xác định nguyên nhân và tìm hiểu cách khắc phục hiệu quả, nhanh chóng.

Những điểm chính

• Tổng quan về lỗi: Hiểu rõ “Authentication token manipulation error” là lỗi hệ thống không thể lưu mật khẩu mới, thường do sai quyền, ổ cứng đầy hoặc lỗi file hệ thống.
• Nguyên nhân gây lỗi: Nắm được 4 nguyên nhân chính gây ra lỗi, từ việc phân vùng ở chế độ chỉ đọc, sai quyền file /etc/shadow, đến hết dung lượng lưu trữ và lỗi cấu hình PAM.
• Các cách khắc phục chi tiết: Thành thạo 6 phương pháp để xử lý lỗi, bao gồm khởi động lại, kiểm tra phân vùng, phân quyền lại file /etc/shadow, kiểm tra PAM, dung lượng và sửa lỗi filesystem.
• Cách ngăn ngừa lỗi: Biết được các biện pháp phòng ngừa hiệu quả để tránh gặp lại lỗi này, từ việc giám sát dung lượng, quản lý phân quyền đến việc tắt máy đúng quy trình.
• Giải đáp thắc mắc (FAQ): Có được câu trả lời cho các câu hỏi thực tế như tại sao dùng sudo vẫn lỗi, cách phân biệt lỗi do PAM hay filesystem và các phương pháp phòng tránh tái diễn.

Lỗi “Authentication token manipulation error” là gì?

Lỗi “passwd: Authentication token manipulation error” trong Linux là một thông báo chung xuất hiện khi quy trình thay đổi mật khẩu bị gián đoạn không phải do người dùng nhập sai, mà do hệ thống không thể ghi đè dữ liệu xác thực mới vào nơi lưu trữ (thường là file /etc/shadow). Bạn có thể hiểu đơn giản là đã nhập mật khẩu thành công, nhưng hệ thống gặp sự cố khi lưu xuống ổ cứng, dẫn đến việc thay đổi thất bại. Nguyên nhân thường do sai quyền file, ổ cứng đầy, hoặc lỗi file hệ thống.

$ passwd: Authentication token manipulation error

Nguyên nhân gây lỗi “Authentication token manipulation error”

Dưới đây là 4 nguyên nhân chính gây ra lỗi “Authentication token manipulation error” này:

• Phân vùng hệ thống ở trạng thái chỉ đọc (Read-only): Hệ điều hành phát hiện lỗi cấu trúc trên ổ cứng và sẽ tự động chuyển phân vùng root (/) sang chế độ Read-only để bảo vệ dữ liệu. Điều này khiến lệnh passwd không thể ghi đè mật khẩu mới lên file cấu hình.
• Sai lệch quyền truy cập hoặc thuộc tính File:
  • File lưu trữ mật khẩu /etc/shadow bị thiết lập sai quyền và không cho phép root ghi.
  • File /etc/shadow bị gắn thuộc tính Immutable khiến file bị khóa cứng hoàn toàn và không thể chỉnh sửa dù là bởi tài khoản root.
• Hết tài nguyên lưu trữ: Phân vùng chứa thư mục /etc đã đầy 100% dung lượng. Khi đó, hệ thống không còn không gian trống để thực hiện thao tác ghi file tạm hoặc cập nhật file mật khẩu.
• Lỗi cấu hình PAM: Các file cấu hình trong thư mục /etc/pam.d/ (đặc biệt là common-password) bị hỏng, thiếu sót hoặc bị chỉnh sửa sai cú pháp, làm gián đoạn quy trình xác thực và cập nhật token.

1. Khởi động lại hệ thống (Reboot)

Trước khi can thiệp sâu vào cấu hình, bạn hãy thử khởi động lại máy chủ. Đây là bước đơn giản nhưng hiệu quả để xử lý các lỗi tạm thời liên quan đến cache hoặc trạng thái treo của tiến trình xác thực.

$ sudo reboot

2. Kiểm tra và đồng bộ lại phân vùng Root

Nếu hệ thống file gặp lỗi, Linux thường tự động chuyển phân vùng root / sang chế độ Read-only để bảo vệ dữ liệu khiến lệnh passwd không thể ghi mật khẩu mới. Khi đó, bạn hãy thực hiện các bước sau:

Bước 1: Kiểm tra trạng thái mount

$ mount | grep 'on / '

Nếu kết quả hiển thị ro (read-only), bạn cần thực hiện bước tiếp theo.

Bước 2: Gắn lại phân vùng với quyền ghi (Write)

$ sudo mount -o remount,rw /

Bước 3: Bạn chạy lại lệnh để kiểm tra:

$  mount | grep 'on / '

3. Phân quyền lại cho file /etc/shadow

File /etc/shadow là nơi lưu trữ chuỗi mã hóa mật khẩu. Nếu quyền truy cập của file này bị thay đổi sai lệch, người dùng sẽ không thể cập nhật mật khẩu.

Bước 1: Kiểm tra quyền hiện tại

$ ls -l /etc/shadow

Bước 2: Thiết lập lại quyền chuẩn

Quyền chuẩn bảo mật cho file này phải là 640, thuộc sở hữu của root và nhóm shadow.

$ sudo chmod 640 /etc/shadow
$ sudo chown root:shadow /etc/shadow

Bước 3: Dùng lại lệnh sau để kiểm tra:

4. Kiểm tra cấu hình PAM

PAM là khung quản trị xác thực cốt lõi của Linux nên một cấu hình sai trong các module PAM sẽ ảnh hưởng đến quá trình đổi mật khẩu. Các file cấu hình quan trọng mà bạn cần kiểm tra trong thư mục /etc/pam.d/ đó là:

• /etc/pam.d/passwd
• /etc/pam.d/common-password
• /etc/pam.d/login
• /etc/pam.d/password-auth (RedHat/CentOS)

Bạn chạy lệnh sau để cập nhật lại cấu hình PAM:

$ sudo vi /etc/pam.d/passwd

Hoặc bạn kiểm tra nội dung của file /etc/pam.d/passwd để đảm bảo không bị chỉnh sửa sai.

5. Kiểm tra dung lượng lưu trữ

Một nguyên nhân khác có thể gây lỗi “passwd: Authentication token manipulation error” đó là phân vùng chứa thư mục /etc/ đã bị đầy, khiến hệ thống không thể ghi thêm dù chỉ 1 byte dữ liệu.

Để kiểm tra dung lượng, bạn thực thi lệnh sau:

$ df -h

Nếu phân vùng root / đã đầy, bạn cần giải phóng không gian ngay lập tức:

• Xóa cache trình quản lý gói:

 sudo apt clean

Hoặc

sudo yum clean all.

• Xóa log hệ thống cũ:

sudo journalctl --vacuum-time=3d.

6. Sửa lỗi Filesystem bằng fsck

Trong trường hợp ổ cứng bị lỗi sector hoặc cấu trúc file bị hỏng, bạn cần dùng công cụ fsck để sửa.

$ sudo fsck /dev/sda1

Thay /dev/sda1bằng tên phân vùng hệ thống của bạn.

Cách ngăn ngừa lỗi “passwd: Authentication token manipulation error”

• Giám sát dung lượng ổ đĩa: Đảm bảo phân vùng root của bạn không bị đầy 100% và thường xuyên dọn cache và log cũ để hệ thống luôn có không gian ghi file xác thực.
• Tránh can thiệp thủ công: Bạn nên hạn chế tối đa việc mở và sửa trực tiếp các file quan trọng, đồng thời ưu tiên sử dụng các lệnh chuẩn của Linux để hệ thống tự xử lý an toàn.
• Kiểm tra sức khỏe ổ cứng: Định kỳ theo dõi log hệ thống của bạn để phát hiện sớm lỗi I/O và khởi động lại server để công cụ fsck tự động sửa lỗi cấu trúc file, tránh bị chuyển sang chế độ “Read-only”.
• Quản lý phân quyền nghiêm ngặt: Bạn không nên thay đổi quyền (chmod) hay chủ sở hữu (chown) của toàn bộ thư mục /etc/ nếu không cần thiết vì điều này có thể ảnh hưởng đến cơ chế bảo mật của hệ thống.
• Tắt máy đúng quy trình: Bạn hãy luôn sử dụng lệnh shutdown hoặc reboot thay vì ngắt điện đột ngột (tắt nóng) để tránh làm hỏng cấu trúc dữ liệu đang ghi dở.

Lỗi “passwd: Authentication token manipulation error” là dấu hiệu cho thấy hệ thống đang gặp sự cố về quyền truy cập, cấu hình PAM, dung lượng hoặc filesystem, chứ không đơn thuần là nhập sai mật khẩu. Khi nắm rõ từng nguyên nhân và áp dụng các bước kiểm tra được hướng dẫn, bạn có thể nhanh chóng khôi phục chức năng đổi mật khẩu, đồng thời tăng cường độ ổn định và bảo mật cho máy chủ Linux của mình.