我已经设置了一个 AWS 映像和一个 Kubuntu 映像,两者都遵循了 CIS 基准测试原则https://www.cisecurity.org/cis-benchmarks/已被应用。
在这段时间里,我偶尔会遇到一些只能用奇怪来形容的身份验证问题。
机器不再接受密码 - 并且密码被报告为不正确。
然后我尝试通过以下方式解决问题:
- 检查用户文件夹的文件权限。运气不好,权限没问题,无密码身份验证仍能完美运行。
- 通过计算机上的第二个用户使用 root 权限,检查 8 个安全文件
/etc/
(passwd
、groups
、shadow
、gshadow
及其对应文件)的文件权限。运气不好,权限没有问题,所有其他用户都可以正常工作 - 通过第二个用户使用 root 权限,检查上面列出的文件中行的完整性。没有运气,这些行与其他行的匹配结果类似
- 通过第二个用户使用 root 权限,重置有问题用户的密码。运气不佳,即使密码已设置为空白用户,用户仍然无法登录
- 通过第二个用户使用 root 权限,创建一个新用户并废弃旧用户。有效,直到问题再次出现。
亚马逊上的图像会在需要时被装入新的盒子中,而 Kubuntu 机器并不经常使用,但这带来了一些有趣的点:
- 这似乎是在多次成功的身份验证之后发生的:如果对此的 Amazon 映像进行缓冲存储几次身份验证都没有问题然后失败,则对此的另一个 Amazon 映像进行缓冲存储也会在同一时间失败。
- 刷新根分区似乎可以解决这个问题,排除了 /var 和 /home 是问题的一部分,因为它们位于 Kubuntu 盒子上的不同分区上
我想要的是确切地知道导致这种情况的原因并解决,这样我就不必时不时地创建新用户并重新分配所有权。
答案1
事实证明,PAM 将成功登录计为失败登录,并且从不重置失败计数。
PAM 的标准设置中似乎缺少一行可以防止出现此问题。具体来说,以下行应/sbin/pam.d/common_account
作为标准
account required pam_tally2.so
一旦我将其包括在内,我就可以看到成功的登录正确地将失败的登录重置为 0。