如何在更改 common-account-pc 或 common-auth-pc 后重新启动 pam.d 服务

如何在更改 common-account-pc 或 common-auth-pc 后重新启动 pam.d 服务

我在配置行中遇到问题,common-account-pc并且common-auth-pc也拒绝 root 访问:

account  required  pam_tally2.so  deny=10 onerr=fail unlock_time=600 even_deny_root root_unlock_time=5 file=/home/log/faillog

当尝试多次访问 SUT 时,这条线似乎会导致一些问题,我认为这是通过 ssh 进行的攻击。但它实际上是一个测试工具,尝试通过 ssh root@ 从服务器 (10.10.10.13) 向 SUT (100.100.100.100) 发送多次命令。

Apr 25 05:51:56 SUT sshd[31570]: pam_tally2(sshd:auth): user root (0) tally 83, deny 10
Apr 25 05:52:16 SUT sshd[31598]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.10.10.13  user=root
Apr 25 05:52:21 SUT sshd[31568]: error: PAM: Authentication failure for root from 10.10.10.13
Apr 25 05:52:21 SUT sshd[31568]: Connection closed by 10.10.10.13 [preauth]

由于密码始终是正确的,但一段时间后它仍然开始通过异常(pexpect)帐户被锁定。

version: 2.3 ($Revision: 399 $)
command: /usr/bin/ssh
args: ['/usr/bin/ssh', '[email protected]']
searcher: searcher_re:
    0: re.compile(".*:~ #")
buffer (last 100 chars): :
Account locked due to 757 failed logins

Password:
before (last 100 chars): :
Account locked due to 757 failed logins

Password:
after: <class 'pexpect.TIMEOUT'>
...

但根据 passwd root 没有 LK 标记:

SUT:~ # passwd -S root
root P 04/24/2017 -1 -1 -1 -1

始终可以通过 ssh root@ 手动访问 SUT!

因此,目前唯一可能导致此问题的是 pam 配置。但我如何重新启动或激活更改?

其他人还有其他想法吗?

感谢副词。

答案1

没有 PAM 守护进程。您无需重新加载任何内容即可使更改生效。

答案2

对于像我这样仍然发现这个问题的人:

sudo pam-auth-update --force --package

根据手册页, --package 是告诉 pam-auth-update 您是维护者脚本,不应以交互方式提示。

我需要使用此命令在编辑/etc/pam.d/common-password.

答案3

也许有更好/更短的方法,但我通过运行以下命令重新加载了我的 PAM 身份验证配置更改:

sudo /usr/sbin/pam-auth-update

不要更改弹出窗口中的任何内容,只需按“确定”即可。

相关内容