رفع خطای Authentication Token Manipulation Error

وقتی در حال تغییر رمز عبور در یک سیستم لینوکسی هستید و ناگهان با پیامی به شکل «Authentication Token Manipulation Error» مواجه می‌شوید، ممکن است لحظه‌ای سردرگم شوید. این خطا نه تنها برای کاربران مبتدی، بلکه برای مدیران تجربه‌دار سیستم هم می‌تواند سردردسر باشد، به خصوص اگر در محیط تولید و روی یک سرور زنده رخ دهد.

اما خبر خوب این است که این خطا معمولاً نشانه یک مشکل جدی در سیستم نیست، بلکه نتیجه یک سری اشکالات قابل رفع است که با دقت و روش‌مندی می‌توان آنها را شناسایی و برطرف کرد. در این مقاله، قصد داریم به زبانی ساده و در عین حال دقیق، به تمام جوانب این خطا بپردازیم. از علل ریشه‌ای تا راه‌حل‌های عملی، همه چیز را گام به گام توضیح می‌دهیم، طوری که چه مدیر سرور باشید، چه توسعه‌دهنده، و چه کاربر عادی لینوکس، بتوانید مشکل را خودتان حل کنید.

چه چیزی باعث خطای Authentication Token Manipulation Error می‌شود؟

درک ماهیت خطا اولین قدم برای رفع آن است. وقتی دستور passwd را اجرا می‌کنید، سیستم از یک سیستم احراز هویت به نام PAM (Pluggable Authentication Modules) استفاده می‌کند. این سیستم مسئول مدیریت رمزهای عبور، احراز هویت و تأیید کاربران است. وقتی می‌گویید رمز عبور را تغییر دهید، در واقع دارید می‌گویید: «توکن احراز هویت من را به‌روز کن».

این توکن همان رمز عبور رمزگذاری شده شماست که در فایل /etc/shadow ذخیره می‌شود. اگر سیستم نتواند این فایل را تغییر دهد — به هر دلیلی — با پیام Authentication Token Manipulation Error مواجه خواهید شد. پس این خطا در واقع یک پیام کلی است که می‌گوید: «نمی‌توانم رمز شما را ذخیره کنم».

اما چرا نمی‌تواند ذخیره کند؟ این سوال کلیدی است.

علت‌های رایج خطای Authentication Token Manipulation Error

اولین کاری که باید بکنید، این است که سیستم خود را به صورت منطقی و مرحله‌ای بررسی کنید. این خطا معمولاً به یکی از دلایل زیر رخ می‌دهد.

فضای دیسک تمام شده

یکی از شایع‌ترین دلایل این خطا، پر بودن فضای دیسک است. وقتی دیسک پر باشد، حتی اگر سیستم بخواهد یک فایل کوچک موقت ایجاد کند یا /etc/shadow را به‌روز کند، نمی‌تواند. و این دقیقاً همان چیزی است که باعث می‌شود تغییر رمز عبور شکست بخورد و حال ما باید اقدام به بررسی میزان فضای مصرفی دیسک کنیم.

برای بررسی فضای دیسک، دستور زیر را اجرا کنید:

df -h

اگر ستون Usage برای هر کدام از پارتیشن‌ها به 100% نزدیک باشد، مشکل از همین‌جا است. معمولاً پارتیشن‌های / یا /var بیشترین احتمال را برای پر شدن دارند، به خصوص اگر سرور شما لاگ‌های زیادی تولید کند.

راه حل ساده است: فضای آزاد کنید. می‌توانید لاگ‌های قدیمی را پاک کنید، کش بسته‌ها را پاک کنید یا فایل‌های موقت را حذف کنید. دستوراتی مثل sudo apt clean (در اوبونتو/دبیان) یا sudo journalctl –vacuum-time=7d می‌توانند کمک کننده باشند.

بعد از آزاد کردن فضا، دوباره دستور passwd را امتحان کنید.

فایل /etc/shadow قابل نوشتن نیست

فایل /etc/shadow یکی از مهم‌ترین فایل‌های امنیتی سیستم است. فقط کاربر root باید بتواند آن را تغییر دهد. اگر دسترسی‌های این فایل به اشتباه تغییر کرده باشد — مثلاً توسط یک اسکریپت نادرست یا دستوری با chmod — سیستم نمی‌تواند رمز عبور را به‌روز کند.

برای بررسی دسترسی فایل، دستور زیر را وارد کنید:

ls -l /etc/shadow

خروجی باید شبیه این باشد:

-rw------- 1 root root 1500 date /etc/shadow

اگر مالک root نباشد یا دسترسی‌ها متفاوت باشد (مثلاً 644 یا 777)، باید آن را اصلاح کنید:

sudo chown root:root /etc/shadow
sudo chmod 600 /etc/shadow

همین کار را برای فایل /etc/passwd هم انجام دهید، اما دسترسی آن باید 644 باشد:

sudo chown root:root /etc/passwd
sudo chmod 644 /etc/passwd

سیستم فایل در حالت فقط خواندنی است

در برخی موارد، به دلیل خاموشی ناگهانی، مشکل سخت‌افزاری یا خرابی دیسک، سیستم عامل فایل‌سیستم را به صورت فقط خواندنی (read-only) تنظیم می‌کند. در این حالت، هیچ تغییری در فایل‌ها امکان‌پذیر نیست، چه در /etc/shadow و چه در هر فایل دیگری.

برای بررسی این موضوع، دستور زیر را اجرا کنید:

mount | grep " / "

اگر در خروجی کلمه ro (مخفف read-only) دیدید، یعنی سیستم فایل فقط خواندنی است. این مشکل را نمی‌توان با یک دستور ساده حل کرد. باید علت اصلی را پیدا کرد.

راه‌حل‌های ممکن:

• ریستارت سیستم: گاهی سیستم پس از ریستارت به صورت عادی بوت می‌شود و دوباره حالت read-write را فعال می‌کند.
• استفاده از Live CD: اگر سیستم نمی‌تواند بوت شود، باید از یک محیط بیرونی مثل USB لایو استفاده کنید و سیستم فایل را تعمیر کنید.
• اجرای fsck: برای بررسی و تعمیر خرابی سیستم فایل. دستور زیر را با دقت اجرا کنید (فقط وقتی که پارتیشن unmount باشد):

sudo fsck /dev/sda1

توجه: اجرای fsck روی یک سیستم فایل mount شده می‌تواند باعث از دست رفتن داده‌ها شود.

خرابی در ماژول‌های PAM

PAM یا Pluggable Authentication Modules، موتور احراز هویت لینوکس است. اگر تنظیمات این ماژول‌ها خراب شده باشد، حتی اگر همه چیز درست باشد، تغییر رمز عبور شکست می‌خورد. لام است بدانید که فایل‌های مهم PAM بسته به توزیع متفاوت هستند.

در اوبونتو و دبیان:

/etc/pam.d/common-password

در سنتوس و ردهت:

/etc/pam.d/passwd

محتوای این فایل‌ها باید شامل خطی باشد که به ماژول pam_unix.so اشاره دارد. مثلاً:

password requisite pam_unix.so obscure sha512

اگر این خط حذف شده باشد یا دارای اشکال باشد، خطا رخ می‌دهد. در این حالت، می‌توانید فایل را از یک سیستم سالم کپی کنید یا دستی آن را اصلاح کنید.

قبل از هر تغییری، حتماً یک بکاپ از فایل اصلی بگیرید:قبل از هر تغییری، حتماً یک بکاپ از فایل اصلی بگیرید:

sudo cp /etc/pam.d/common-password /etc/pam.d/common-password.bak

استفاده از سرویس‌های احراز هویت خارجی

اگر سیستم شما به یک سرویس مرکزی مثل LDAP، NIS یا Active Directory متصل است، رمز عبور کاربران در سیستم محلی ذخیره نمی‌شود. بنابراین، دستور passwd نمی‌تواند رمز را تغییر دهد، چون فایل /etc/shadow فقط یک مرجع است.

برای تشخیص این موضوع، دستور زیر را اجرا کنید:

grep passwd /etc/nsswitch.conf

اگر خروجی شامل ldap یا nis باشد، یعنی احراز هویت از طریق سرویس خارجی انجام می‌شود.

در این حالت، باید از دستورات مربوط به آن سرویس استفاده کنید. مثلاً برای LDAP:

ldappasswd -x -D "cn=admin,dc=example,dc=com" -W -S "uid=user,ou=users,dc=example,dc=com"

یا از طریق پنل مدیریتی سرور LDAP رمز را تغییر دهید.

فایل‌های قفل موقت باقی مانده‌اند و خطای Authentication Token Manipulation Error رخ میدهد!

وقتی یک کاربر در حال تغییر رمز عبور است، سیستم فایل‌هایی مثل /etc/shadow- یا /etc/passwd- ایجاد می‌کند تا از دسترسی همزمان جلوگیری کند. این فایل‌ها موقت هستند و پس از اتمام عملیات باید حذف شوند.

اما اگر فرآیند به دلیل قطعی شبکه یا crash متوقف شود، این فایل‌ها ممکن است باقی بمانند و مانع تغییر رمز عبور بعدی شوند.

برای بررسی، دستور زیر را اجرا کنید:

ls /etc/*-

اگر فایل‌هایی با پسوند خط تیره دیدید، می‌توانید آنها را حذف کنید:

sudo rm /etc/shadow-
sudo rm /etc/passwd-

اما دقت کنید که فقط فایل‌های با پسوند – را حذف کنید، نه خود فایل اصلی.

راه‌حل‌های پیشرفته و اضطراری برای رفع خطای Authentication Token Manipulation Error

اگر هیچ‌کدام از روش‌های بالا جواب نداد، زمان آن رسیده که به روش‌های اضطراری روی آورید.

استفاده از دستور chpasswd

این دستور به شما اجازه می‌دهد رمز عبور را به صورت غیرتعاملی تغییر دهید:

echo "username:newpassword" | sudo chpasswd

مثلاً:

echo "ali:SecurePass123!" | sudo chpasswd

این دستور مستقیماً با کتابخانه‌های سیستمی کار می‌کند و از برخی محدودیت‌های PAM عبور می‌کند. اگر این دستور جواب داد، یعنی مشکل از تنظیمات PAM یا رابط کاربری passwd بوده است.

ورود به حالت تک کاربره (Single User Mode)

این روش وقتی استفاده می‌شود که دیگر هیچ راهی باقی نمانده باشد. در حالت تک کاربره، سیستم بدون نیاز به رمز عبور بوت می‌شود و شما به عنوان root دسترسی کامل دارید و تقریبا میشه گفت با این حالت یک ورود موفق را میتوانید تجربه کرده باشید.

مراحل:

1. سیستم را ریستارت کنید.
2. در منوی GRUB، کلید e را بزنید تا ویرایش کنید.
3. در خطی که با linux شروع می‌شود، عبارت single یا init=/bin/bash را اضافه کنید.
4. با Ctrl+X یا F10 بوت کنید.

سپس دستورات زیر را اجرا کنید:

mount -o remount,rw /
passwd yourusername
sync
exec /sbin/init

این روش قدرتمندترین راه برای رفع خطا در سیستم‌های قفل شده است.

راهکارهای پیشگیری از خطا چیست ؟ بهترین راه، پیشگیری است. برای جلوگیری از تکرار این خطا، چند کار ساده اما مؤثر انجام دهید.

فضای دیسک را مانیتور کنید!

از ابزارهایی مثل df، cron و اسکریپت‌های ساده برای ارسال هشدار استفاده کنید. مثلاً یک اسکریپت کوچک بنویسید که هر 6 ساعت فضای دیسک را چک کند و در صورت پر شدن بیش از 85 درصد، ایمیل هشدار بفرستد.

فایل‌های مهم را بکاپ بگیرید!

هر هفته یک بار از فایل‌های /etc/passwd، /etc/shadow و /etc/pam.d/* بکاپ بگیرید. می‌توانید از rsync یا tar استفاده کنید.

سلامت دیسک را بررسی کنید!

از دستور smartctl برای بررسی وضعیت دیسک استفاده کنید:

sudo smartctl -H /dev/sda

این دستور به شما می‌گوید که آیا دیسک در حال خراب شدن است یا نه.

سیستم را به‌روز نگه دارید!سیستم را به‌روز نگه دارید!

به‌روزرسانی منظم سیستم نه تنها امنیت را افزایش می‌دهد، بلکه باگ‌های قدیمی را هم رفع می‌کند.

• هرگز فایل /etc/shadow را برای کاربران عادی قابل خواندن نکنید.
• پس از رفع خطا، دسترسی‌ها را دوباره بررسی کنید.
• در محیط تولید، قبل از اعمال تغییرات، در محیط تست امتحان کنید.
• از تغییر رمز کاربران بدون اطلاع آن‌ها خودداری کنید، مگر در شرایط اضطراری.

خطای Authentication Token Manipulation Error یک خطا بازتابی است، نه یک مشکل اصلی. آنچه مهم است، علت آن است. این خطا می‌تواند ناشی از فضای دیسک پر، دسترسی نادرست، حالت فقط خواندنی، خرابی PAM یا حتی تنظیمات شبکه باشد.

با یک رویکرد منظم و گام به گام، می‌توانید مشکل را شناسایی و برطرف کنید. مهم‌تر از همه، با رعایت اصول پایه‌ای مدیریت سیستم — مثل مانیتورینگ، بکاپ و به‌روزرسانی — می‌توانید از بروز مجدد آن جلوگیری کنید.

اگر این خطا را دوباره دیدید، عجله نکنید. نفس عمیقی بکشید، دستورات ساده را امتحان کنید و سیستم خود را به صورت منطقی بررسی کنید. در اکثر موارد، راه‌حل ساده‌تر از آن چیزی است که فکر می‌کنید.