Linux 身份验证问题

Linux 身份验证问题

我已经设置了一个 AWS 映像和一个 Kubuntu 映像,两者都遵循了 CIS 基准测试原则https://www.cisecurity.org/cis-benchmarks/已被应用。

在这段时间里,我偶尔会遇到一些只能用奇怪来形容的身份验证问题。

机器不再接受密码 - 并且密码被报告为不正确。

然后我尝试通过以下方式解决问题:

  • 检查用户文件夹的文件权限。运气不好,权限没问题,无密码身份验证仍能完美运行。
  • 通过计算机上的第二个用户使用 root 权限,检查 8 个安全文件/etc/passwdgroupsshadowgshadow及其对应文件)的文件权限。运气不好,权限没有问题,所有其他用户都可以正常工作
  • 通过第二个用户使用 root 权限,检查上面列出的文件中行的完整性。没有运气,这些行与其他行的匹配结果类似
  • 通过第二个用户使用 root 权限,重置有问题用户的密码。运气不佳,即使密码已设置为空白用户,用户仍然无法登录
  • 通过第二个用户使用 root 权限,创建一个新用户并废弃旧用户。有效,直到问题再次出现。

亚马逊上的图像会在需要时被装入新的盒子中,而 Kubuntu 机器并不经常使用,但这带来了一些有趣的点:

  • 这似乎是在多次成功的身份验证之后发生的:如果对此的 Amazon 映像进行缓冲存储几次身份验证都没有问题然后失败,则对此的另一个 Amazon 映像进行缓冲存储也会在同一时间失败。
  • 刷新根分区似乎可以解决这个问题,排除了 /var 和 /home 是问题的一部分,因为它们位于 Kubuntu 盒子上的不同分区上

我想要的是确切地知道导致这种情况的原因并解决,这样我就不必时不时地创建新用户并重新分配所有权。

答案1

事实证明,PAM 将成功登录计为失败登录,并且从不重置失败计数。

PAM 的标准设置中似乎缺少一行可以防止出现此问题。具体来说,以下行应/sbin/pam.d/common_account作为标准

account required pam_tally2.so

一旦我将其包括在内,我就可以看到成功的登录正确地将失败的登录重置为 0。

相关内容