He configurado una imagen de AWS y una imagen de Kubuntu, ambas con los principios de evaluación comparativa de CIS descritos enhttps://www.cisecurity.org/cis-benchmarks/haber sido aplicado.
Esporádicamente durante este tiempo he encontrado problemas con la autenticación que sólo pueden describirse como extraños.
La máquina deja de aceptar la contraseña y se informa que es incorrecta.
Luego intenté resolver el problema mediante:
- Comprobación de permisos de archivos en la carpeta de usuarios. No hubo suerte, los permisos están bien y la autenticación sin contraseña sigue funcionando perfectamente.
- Usar una raíz a través de un segundo usuario en la máquina, verificar los permisos de los archivos en los 8 archivos de seguridad en ( ,,,
/etc/ypasswdsus contrapartes). No hubo suerte, los permisos están bien y todos los demás usuarios funcionan.groupsshadowgshadow - Usando root a través de un segundo usuario, verifique la integridad de las líneas en los archivos enumerados anteriormente. No hubo suerte, las líneas coinciden de manera similar a las otras líneas.
- Usando root a través de un segundo usuario, restablezca la contraseña del usuario con problemas. No hubo suerte, el usuario aún no puede iniciar sesión, incluso cuando la contraseña se estableció en un usuario en blanco
- Usando root a través de un segundo usuario, cree un nuevo usuario eliminando el anterior. Funciona hasta que el problema vuelve a aparecer.
Las imágenes en Amazon se agrupan en nuevas cajas cuando es necesario, y las máquinas Kubuntu no se usan con frecuencia, pero esto ha permitido algunos puntos interesantes:
- Esto parece suceder después de varias autenticaciones exitosas: si poner en cola una imagen de Amazon de esto está bien para algunas autenticaciones y luego falla, poner en cola otra imagen de Amazon de esto fallará en el mismo punto.
- Actualizar la partición raíz parece resolver esto, descartando que /var y /home sean parte del problema, ya que están en particiones separadas en las cajas de Kubuntu.
Lo que me gustaría es saber exactamente qué está causando esto y resolverlo para no tener que crear nuevos usuarios y reasignar la propiedad de vez en cuando.
Respuesta1
Resulta que PAM contaba los inicios de sesión exitosos como inicios de sesión fallidos y nunca restablecía el recuento de errores.
Parece que a PAM le falta una línea en su configuración estándar que debería evitar este problema. Específicamente, la siguiente línea debe estar /sbin/pam.d/common_accountcomo estándar
account required pam_tally2.so
Una vez que incluí esto, pude ver que los inicios de sesión exitosos restablecen los inicios de sesión fallidos a 0 correctamente.