失敗鎖定在 RHEL6 上將正確的密碼標記為錯誤
[英]faillock marks correct password as wrong on RHEL6
問題描述
我一直有一個神秘的問題,即無法通過 SSH 或控制台登錄到我的 root 帳戶。 這是一台真正的物理機,而不是虛擬機。 幸運的是,我還有一個 sudo 用戶可以嘗試。
RHEL6
- 來自另一個用戶的
$ su root工作正常,所以密碼是正確的 - 通過 Putty SSH 登錄不起作用。 退貨
Access denied - 直接通過鍵盤登錄也不行。 返回
Incorrect login
我的 pam.d 設置被設置為鎖定帳戶,我可以看到鎖定的帳戶
-
$ sudo failock --root。
如果輸入錯誤密碼3次錯誤,我的root將因pam設置被阻止,此時$ su root也將停止工作。 因此,我使用以下方法重置了被阻止的帳戶:
-
$ sudo faillock --user root reset
查看$ sudo failock --root ,我可以看到在執行這些操作時記錄了被拒絕的訪問。 嘗試使用正確的密碼通過 SSH 或鍵盤直接連接也會生成日志條目
無論如何 - 我的 root 帳戶被鎖定在某處,我不知道如何解鎖
其他一些設置:
$ sudo chage -l root
Last password change : Feb 14, 2020
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7
# /etc/passwd
root:x:0:0:root:/root:/bin/bash
# /etc/shadow
root:$6$SALTSALT$HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_H:18306:0:99999:7:::
# /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth required pam_faillock.so preauth silent even_deny_root deny=3 unlock_time=604800 fail_interval=900
auth sufficient pam_unix.so try_first_pass
auth [default=die] pam_faillock.so authfail even_deny_root deny=3 unlock_time=604800 fail_interval=900
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth required pam_deny.so
account required pam_faillock.so
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account required pam_permit.so
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so sha512 shadow try_first_pass use_authtok remember=5
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
# /etc/pam.d/password-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth required pam_faillock.so preauth silent even_deny_root deny=3 unlock_time=604800 fail_interval=900
auth sufficient pam_unix.so nullok try_first_pass
auth [default=die] pam_faillock.so authfail even_deny_root deny=3 unlock_time=604800 fail_interval=900
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth required pam_deny.so
account required pam_faillock.so
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account required pam_permit.so
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
1 個解決方案
解決方案1
0 2020-02-14 15:53:40
這是由兩個不同的問題引起的:
1
文件/etc/securetty文件是空的,所以我添加了: tty1 。
unitstackexchange 答案
2
文件/etc/ssh/sshd_config取消了對PermitRootLogin注釋,因此我對其進行了注釋並重新啟動了 sshd 服務。
我仍然有一個問題,因為有一個服務正在創建一個空的/etc/securetty文件(如果它不存在),但我最終會嘗試追蹤它。
RHEL6安裝了錯誤版本的rpmforge
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.