Ich habe sowohl ein AWS-Image als auch ein Kubuntu-Image eingerichtet, beide mit den CIS-Benchmarking-Prinzipien, die aufhttps://www.cisecurity.org/cis-benchmarks/angewendet worden ist.
Während dieser Zeit sind mir sporadisch Probleme mit der Authentifizierung begegnet, die man nur als seltsam beschreiben kann.
Das Passwort wird vom Rechner nicht mehr akzeptiert und als falsch gemeldet.
Ich habe dann versucht, das Problem wie folgt zu lösen:
- Ich überprüfe die Dateiberechtigungen für den Benutzerordner. Kein Erfolg, die Berechtigungen sind in Ordnung und die kennwortlose Authentifizierung funktioniert weiterhin einwandfrei.
- Verwenden Sie einen Root über einen zweiten Benutzer auf dem Computer und überprüfen Sie die Dateiberechtigungen für die 8 Sicherheitsdateien in
/etc/(passwd,groups,shadow,gshadow, und deren Gegenstücke). Kein Glück, die Berechtigungen sind in Ordnung und alle anderen Benutzer funktionieren - Überprüfen Sie als Root über einen zweiten Benutzer die Integrität der Zeilen in den oben aufgeführten Dateien. Kein Erfolg, die Zeilen stimmen mit den anderen Zeilen überein
- Setzen Sie das Passwort des betroffenen Benutzers mithilfe von root über einen zweiten Benutzer zurück. Kein Erfolg, der Benutzer kann sich immer noch nicht anmelden, selbst wenn das Passwort auf einen leeren Benutzer festgelegt wurde.
- Erstellen Sie mit root über einen zweiten Benutzer einen neuen Benutzer und löschen Sie den alten. Funktioniert, bis das Problem erneut auftritt.
Die Bilder auf Amazon werden nach Bedarf in neue Boxen hochgeladen und die Kubuntu-Maschinen werden nicht oft verwendet. Dies hat jedoch einige interessante Aspekte ermöglicht:
- Dies scheint nach einer Reihe erfolgreicher Authentifizierungen zu passieren: Wenn das Hochfahren eines Amazon-Images hiervon für einige Authentifizierungen problemlos funktioniert und dann fehlschlägt, schlägt das Hochfahren eines weiteren Amazon-Images hiervon an derselben Stelle fehl.
- Das Flashen der Root-Partition scheint das Problem zu lösen und schließt aus, dass /var und /home Teil des Problems sind, da sie sich auf separaten Partitionen auf den Kubuntu-Boxen befinden.
Ich möchte genau wissen, wodurch das Problem verursacht wird, und es beheben, sodass ich nicht ständig neue Benutzer erstellen und die Eigentumsrechte neu zuweisen muss.
Antwort1
Es stellte sich heraus, dass PAM erfolgreiche Anmeldungen als fehlgeschlagene Anmeldungen zählte und die Anzahl der fehlgeschlagenen Anmeldungen nie zurücksetzte.
In PAM scheint eine Zeile im Standard-Setup zu fehlen, die dieses Problem verhindern sollte. Insbesondere sollte die folgende Zeile /sbin/pam.d/common_accountstandardmäßig vorhanden sein
account required pam_tally2.so
Nachdem ich dies einbezogen hatte, konnte ich sehen, dass erfolgreiche Anmeldungen die fehlgeschlagenen Anmeldungen korrekt auf 0 zurücksetzen.