我关注了Yubico 官方指南在我的帐户上启用质询-响应 2FA,但是重新启动时登录提示输入 Yubikey,然后要求输入密码,然后无休止地重复这 2 个提示。如果我切换到 TTY 并尝试使用 root 登录,在提示输入 Yubikey 和密码后,我会收到身份验证失败消息。现在,我只想找到一种禁用 2FA 的方法,以便我可以自行诊断和解决问题。
我的问题是,如果我使用实时 CD 启动并简单地注释掉 PAM 配置文件中的行,这是否足以让我重新进入我的笔记本电脑?
答案1
从实时 CD 启动 rom。
在某个位置挂载你的根文件系统,然后绑定挂载和/dev。假设你的根文件系统在实时会话中挂载,以下命令将执行此操作:/proc/sys/mnt
sudo mount --bind /proc /mnt/proc
sudo mount --bind /dev /mnt/dev
sudo mount --bind /sys /mnt/sys
然后你必须 chroot 到你的系统
sudo chroot /mnt
编辑您的 PAM 配置并注释掉相关行,就像您建议的那样 - 保存文件后,运行pam-auth-update并禁用 yubikey 模块。
答案2
就我的情况而言,如果我拔出 Yubikey,我就可以使用常规密码登录。然后我将以下文件移动到/etc/pam.disabled:
lrwxrwxrwx 1 root root 31 Apr 29 23:40 gdm-smartcard -> /etc/alternatives/gdm-smartcard
-rw-r--r-- 1 root root 1.3K Feb 25 11:42 gdm-smartcard-pkcs11-exclusive
-rw-r--r-- 1 root root 1.4K Feb 25 11:42 gdm-smartcard-sssd-exclusive
-rw-r--r-- 1 root root 1.4K Feb 25 11:42 gdm-smartcard-sssd-or-password
IE,
sudo -i
mkdir /etc/pam.disabled
cd /etc/pam.d
mv *smartcard* ../pam.disabled/
然后,您可以通过插入 Yubikey、锁定屏幕(如果您的键盘有,则按 Super+L 或 Lock)进行测试,您应该会看到熟悉的密码提示而不是智能卡提示。
Nit:我安装了智能卡软件并不意味着我想以这种方式登录。几个版本之前没有发生过这种情况。应该有一种方法可以安装 PKCS11 驱动程序而无需启用它们进行 PAM 质询。