使用最新软件包更新 Ubuntu 20.04 后,我的一些帐户被锁定libpam-systemd。我试图了解为什么有些帐户被锁定而其他帐户没有被锁定,因为该common-auth规则适用于所有用户。详情如下。
我的系统中有几个用户(包括我自己)没有 sudo 权限。我有一个单独的管理员用户,sshd_config出于安全考虑,该用户被禁止通过 ssh 登录。所有用户都通过 ssh 连接到此计算机,因此我计划对登录进行额外的安全保护。我设置了以下规则来common-auth限制登录尝试次数:
auth [success=1 default=ignore] pam_unix.so nullok_secure
auth required pam_deny.so
auth required pam_tally2.so onerr=fail deny=3 unlock_time=21600
auth required pam_permit.so
auth optional pam_cap.so
因此,崩溃了:通过 ssh 登录到我的常规帐户后,我sudo -进入管理员帐户执行 apt update。一些更新涉及 systemd,例如 libpam-systemd,这提示是否要覆盖更改的问题common-*,我选择不覆盖以保留上述更改。最后,需要重新启动,之后,帐户被锁定。由于我通过 ssh 输入了常规帐户的正确密码,因此我认为身份验证过程并不完全适用于 PAM。
用于执行更新的 2 个帐户(我的帐户通过 ssh 加上管理员帐户su -)在登录失败后被锁定(尽管我输入了正确的密码)。奇怪的是,其他帐户仍然允许通过 ssh 登录。我尝试从其中一个帐户su -登录我的帐户或管理员帐户,但没有成功:由于 X 次登录失败,账户被锁定。
无论如何,我读过其他回答警告更改common-*会导致永久锁定,尽管我的更改非常简单。剩下的两个问题是:
1 - 为什么保留更改会common-*导致 PAM 锁定我的帐户?这common-auth似乎很容易导致 PAM 身份验证混乱。
2 - 为什么 2 个活跃账户被锁定,而其他账户没有被锁定?