“passwd: Authentication token manipulation error” là lỗi xảy ra khi hệ thống không thể ghi mật khẩu mới vào file cơ sở dữ liệu /etc/shadow, thường do sai quyền hạn, ổ cứng đầy hoặc lỗi file hệ thống. Trong bài viết này, mình sẽ giúp bạn xác định nguyên nhân và tìm hiểu cách khắc phục hiệu quả, nhanh chóng.
Những điểm chính
- Tổng quan về lỗi: Hiểu rõ “Authentication token manipulation error” là lỗi hệ thống không thể lưu mật khẩu mới, thường do sai quyền, ổ cứng đầy hoặc lỗi file hệ thống.
- Nguyên nhân gây lỗi: Nắm được 4 nguyên nhân chính gây ra lỗi, từ việc phân vùng ở chế độ chỉ đọc, sai quyền file
/etc/shadow, đến hết dung lượng lưu trữ và lỗi cấu hình PAM. - Các cách khắc phục chi tiết: Thành thạo 6 phương pháp để xử lý lỗi, bao gồm khởi động lại, kiểm tra phân vùng, phân quyền lại file
/etc/shadow, kiểm tra PAM, dung lượng và sửa lỗi filesystem. - Cách ngăn ngừa lỗi: Biết được các biện pháp phòng ngừa hiệu quả để tránh gặp lại lỗi này, từ việc giám sát dung lượng, quản lý phân quyền đến việc tắt máy đúng quy trình.
- Giải đáp thắc mắc (FAQ): Có được câu trả lời cho các câu hỏi thực tế như tại sao dùng
sudovẫn lỗi, cách phân biệt lỗi do PAM hay filesystem và các phương pháp phòng tránh tái diễn.
Lỗi “Authentication token manipulation error” là gì?
Lỗi “passwd: Authentication token manipulation error” trong Linux là một thông báo chung xuất hiện khi quy trình thay đổi mật khẩu bị gián đoạn không phải do người dùng nhập sai, mà do hệ thống không thể ghi đè dữ liệu xác thực mới vào nơi lưu trữ (thường là file /etc/shadow). Bạn có thể hiểu đơn giản là đã nhập mật khẩu thành công, nhưng hệ thống gặp sự cố khi lưu xuống ổ cứng, dẫn đến việc thay đổi thất bại. Nguyên nhân thường do sai quyền file, ổ cứng đầy, hoặc lỗi file hệ thống.
$ passwd: Authentication token manipulation error
Nguyên nhân gây lỗi “Authentication token manipulation error”
Dưới đây là 4 nguyên nhân chính gây ra lỗi “Authentication token manipulation error” này:
- Phân vùng hệ thống ở trạng thái chỉ đọc (Read-only): Hệ điều hành phát hiện lỗi cấu trúc trên ổ cứng và sẽ tự động chuyển phân vùng root (
/) sang chế độ Read-only để bảo vệ dữ liệu. Điều này khiến lệnhpasswdkhông thể ghi đè mật khẩu mới lên file cấu hình. - Sai lệch quyền truy cập hoặc thuộc tính File:
- File lưu trữ mật khẩu
/etc/shadowbị thiết lập sai quyền và không cho phép root ghi. - File
/etc/shadowbị gắn thuộc tính Immutable khiến file bị khóa cứng hoàn toàn và không thể chỉnh sửa dù là bởi tài khoản root.
- File lưu trữ mật khẩu
- Hết tài nguyên lưu trữ: Phân vùng chứa thư mục
/etcđã đầy 100% dung lượng. Khi đó, hệ thống không còn không gian trống để thực hiện thao tác ghi file tạm hoặc cập nhật file mật khẩu. - Lỗi cấu hình PAM: Các file cấu hình trong thư mục
/etc/pam.d/(đặc biệt làcommon-password) bị hỏng, thiếu sót hoặc bị chỉnh sửa sai cú pháp, làm gián đoạn quy trình xác thực và cập nhật token.
Các cách khắc phục lỗi “passwd: Authentication token manipulation error” trên Linux chi tiết
1. Khởi động lại hệ thống (Reboot)
Trước khi can thiệp sâu vào cấu hình, bạn hãy thử khởi động lại máy chủ. Đây là bước đơn giản nhưng hiệu quả để xử lý các lỗi tạm thời liên quan đến cache hoặc trạng thái treo của tiến trình xác thực.
$ sudo reboot2. Kiểm tra và đồng bộ lại phân vùng Root
Nếu hệ thống file gặp lỗi, Linux thường tự động chuyển phân vùng root / sang chế độ Read-only để bảo vệ dữ liệu khiến lệnh passwd không thể ghi mật khẩu mới. Khi đó, bạn hãy thực hiện các bước sau:
Bước 1: Kiểm tra trạng thái mount
$ mount | grep 'on / 'Nếu kết quả hiển thị ro (read-only), bạn cần thực hiện bước tiếp theo.
Bước 2: Gắn lại phân vùng với quyền ghi (Write)
$ sudo mount -o remount,rw /Bước 3: Bạn chạy lại lệnh để kiểm tra:
$ mount | grep 'on / '
3. Phân quyền lại cho file /etc/shadow
File /etc/shadow là nơi lưu trữ chuỗi mã hóa mật khẩu. Nếu quyền truy cập của file này bị thay đổi sai lệch, người dùng sẽ không thể cập nhật mật khẩu.
Bước 1: Kiểm tra quyền hiện tại
$ ls -l /etc/shadowBước 2: Thiết lập lại quyền chuẩn
Quyền chuẩn bảo mật cho file này phải là 640, thuộc sở hữu của root và nhóm shadow.
$ sudo chmod 640 /etc/shadow
$ sudo chown root:shadow /etc/shadowBước 3: Dùng lại lệnh sau để kiểm tra:
4. Kiểm tra cấu hình PAM
PAM là khung quản trị xác thực cốt lõi của Linux nên một cấu hình sai trong các module PAM sẽ ảnh hưởng đến quá trình đổi mật khẩu. Các file cấu hình quan trọng mà bạn cần kiểm tra trong thư mục /etc/pam.d/ đó là:
- /etc/pam.d/passwd
- /etc/pam.d/common-password
- /etc/pam.d/login
- /etc/pam.d/password-auth (RedHat/CentOS)
Bạn chạy lệnh sau để cập nhật lại cấu hình PAM:
$ sudo vi /etc/pam.d/passwdHoặc bạn kiểm tra nội dung của file /etc/pam.d/passwd để đảm bảo không bị chỉnh sửa sai.
5. Kiểm tra dung lượng lưu trữ
Một nguyên nhân khác có thể gây lỗi “passwd: Authentication token manipulation error” đó là phân vùng chứa thư mục /etc/ đã bị đầy, khiến hệ thống không thể ghi thêm dù chỉ 1 byte dữ liệu.
Để kiểm tra dung lượng, bạn thực thi lệnh sau:
$ df -hNếu phân vùng root / đã đầy, bạn cần giải phóng không gian ngay lập tức:
- Xóa cache trình quản lý gói:
sudo apt cleanHoặc
sudo yum clean all.- Xóa log hệ thống cũ:
sudo journalctl --vacuum-time=3d.6. Sửa lỗi Filesystem bằng fsck
Trong trường hợp ổ cứng bị lỗi sector hoặc cấu trúc file bị hỏng, bạn cần dùng công cụ fsck để sửa.
Lưu ý
fsck trực tiếp trên phân vùng đang được mount (đặc biệt là phân vùng root), hãy boot vào chế độ Live CD/USB hoặc chế độ Recovery Mode để thực hiện lệnh này an toàn.$ sudo fsck /dev/sda1Thay /dev/sda1bằng tên phân vùng hệ thống của bạn.
Cách ngăn ngừa lỗi “passwd: Authentication token manipulation error”
- Giám sát dung lượng ổ đĩa: Đảm bảo phân vùng root của bạn không bị đầy 100% và thường xuyên dọn cache và log cũ để hệ thống luôn có không gian ghi file xác thực.
- Tránh can thiệp thủ công: Bạn nên hạn chế tối đa việc mở và sửa trực tiếp các file quan trọng, đồng thời ưu tiên sử dụng các lệnh chuẩn của Linux để hệ thống tự xử lý an toàn.
- Kiểm tra sức khỏe ổ cứng: Định kỳ theo dõi log hệ thống của bạn để phát hiện sớm lỗi I/O và khởi động lại server để công cụ
fscktự động sửa lỗi cấu trúc file, tránh bị chuyển sang chế độ “Read-only”. - Quản lý phân quyền nghiêm ngặt: Bạn không nên thay đổi quyền (
chmod) hay chủ sở hữu (chown) của toàn bộ thư mục/etc/nếu không cần thiết vì điều này có thể ảnh hưởng đến cơ chế bảo mật của hệ thống. - Tắt máy đúng quy trình: Bạn hãy luôn sử dụng lệnh
shutdownhoặcrebootthay vì ngắt điện đột ngột (tắt nóng) để tránh làm hỏng cấu trúc dữ liệu đang ghi dở.
Câu hỏi thường gặp
Vì sao dùng sudo passwd nhưng vẫn có lỗi “Authentication token manipulation error”?
Lỗi này thường xảy ra ngay cả khi dùng sudo nếu phân vùng root đang ở chế độ chỉ đọc, quyền file /etc/shadow bị sai hoặc cấu hình PAM đang lỗi, nên lệnh passwd không thể ghi thay đổi xuống hệ thống.
Làm sao phân biệt lỗi do PAM hay do filesystem chỉ đọc?
Nếu bạn chạy mount | grep 'on / ' thấy có tham số ro thì nhiều khả năng phân vùng root đang ở trạng thái chỉ đọc. Ngược lại, nếu phân vùng vẫn rw mà lệnh passwd vẫn lỗi, bạn nên kiểm tra file trong /etc/pam.d/ (như common-password, system-auth) và log hệ thống để phát hiện cấu hình PAM sai.
Làm sao phòng tránh lỗi “Authentication token manipulation error” tái diễn?
Bạn nên: cấu hình quyền /etc/passwd và /etc/shadow đúng chuẩn, giám sát dung lượng phân vùng root, hạn chế chỉnh tay file trong /etc/pam.d/, đồng thời kiểm tra ổ đĩa định kỳ (SMART, fsck) để tránh phát sinh lỗi filesystem.
Lỗi “passwd: Authentication token manipulation error” là dấu hiệu cho thấy hệ thống đang gặp sự cố về quyền truy cập, cấu hình PAM, dung lượng hoặc filesystem, chứ không đơn thuần là nhập sai mật khẩu. Khi nắm rõ từng nguyên nhân và áp dụng các bước kiểm tra được hướng dẫn, bạn có thể nhanh chóng khôi phục chức năng đổi mật khẩu, đồng thời tăng cường độ ổn định và bảo mật cho máy chủ Linux của mình.
