为什么此 PAM 代码会阻止所有登录 Debian 系统？

这个答案有两个部分。第一个添加pam_tally2到auth.第二个将其添加到account.您需要这两个部件pam_tally2正常工作。

让我们看看你的common-auth，

auth    [success=1 default=ignore]  pam_unix.so nullok_secure
auth    required      pam_tally2.so deny=4 unlock_time=1200 even_deny_root
auth    requisite     pam_deny.so
auth    required      pam_permit.so

第一行表示：“尝试使用 UNIX ( /etc/passwd) 身份验证。如果成功，则跳过一行并继续。否则继续执行下一步。”使用这个逻辑，问题就显现出来了：

1. 成功：我们跳过一行 ( success=1)，即pam_tally2，然后点击pam_deny拒绝登录
2. 失败：我们点击pam_tally2然后pam_deny，拒绝登录

正如您现在所看到的，这将阻止所有登录。

解决方案的一部分是将pam_tally2列表放入堆栈顶部。 （您可能认为更改success=2会起作用，但这会跳过pam_tally2成功的身份验证，因此只能在超时后从失败中重置。） 这是我的，来自相当普通的 Debian 系统：

auth    required                        pam_tally2.so deny=5 unlock_time=1200 even_deny_root
# here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]      pam_unix.so nullok_secure
# here's the fallback if no module succeeds
auth    requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth    optional                        pam_cap.so
# end of pam-auth-update config

这会增加计数，但您需要一种方法在成功登录后重置它，而无需诉诸命令pam_tally2。不是特别明显的是，您需要添加pam_tally2.so到该account部分，也作为第一个条目

account required                        pam_tally2.so onerr=fail

我已经对此进行了测试，但是当您尝试时，请确保您在目标计算机上打开了一个额外的 root shell（例如sudo -s），以便您可以恢复对 PAM 配置的任何更改！

tail -F /var/log/auth.log您可以看到和发生了什么watch pam_tally2 --user {user}。

请注意，一旦尝试进行身份验证，计数就会增加，并且仅在成功时重置，因此计数限制必须比允许的尝试次数大 1。