저는 AWS 이미지와 Kubuntu 이미지를 모두 설정했습니다. 둘 다 다음에 설명된 CIS 벤치마킹 원칙을 사용합니다.https://www.cisecurity.org/cis-benchmarks/적용한.
이 기간 동안 인증과 관련하여 이상하다고밖에 설명할 수 없는 문제가 산발적으로 발생했습니다.
비밀번호가 기기에서 더 이상 승인되지 않고 비밀번호가 잘못된 것으로 보고됩니다.
그런 다음 다음과 같이 문제를 해결하려고 시도했습니다.
- 사용자 폴더에 대한 파일 권한을 확인하는 중입니다. 운이 좋지 않습니다. 권한은 괜찮고 비밀번호 없는 인증은 여전히 완벽하게 작동합니다.
- 머신의 두 번째 사용자를 통해 루트를 사용하여
/etc/(passwd,groups,shadow,gshadow및 해당 파일)의 8개 보안 파일에 대한 파일 권한을 확인합니다. 운이 좋지 않습니다. 권한은 괜찮고 다른 모든 사용자는 작동합니다. - 두 번째 사용자를 통해 루트를 사용하여 위에 나열된 파일의 행 무결성을 확인하십시오. 운이 좋지 않습니다. 선은 다른 선과 비슷하게 집계됩니다.
- 두 번째 사용자를 통해 루트를 사용하여 문제가 있는 사용자의 비밀번호를 재설정합니다. 운이 좋지 않습니다. 비밀번호가 빈 사용자로 설정된 경우에도 사용자는 여전히 로그인할 수 없습니다.
- 두 번째 사용자를 통해 루트를 사용하여 이전 사용자를 폐기하는 새 사용자를 만듭니다. 문제가 다시 발생할 때까지 작동합니다.
Amazon의 이미지는 필요할 때마다 새 상자에 생성되며 Kubuntu 머신은 자주 사용되지 않지만 이는 몇 가지 흥미로운 점을 허용합니다:
- 이는 여러 번의 성공적인 인증 후에 발생하는 것 같습니다. 이 Amazon 이미지를 스풀링하는 것이 몇 번의 인증에 문제가 없으면 이 이미지의 다른 Amazon 이미지를 스풀링하는 것도 같은 지점에서 실패합니다.
- 루트 파티션을 플래싱하면 이 문제가 해결되는 것 같습니다. /var 및 /home은 쿠분투 상자의 별도 파티션에 있으므로 문제의 일부가 되지 않습니다.
제가 원하는 것은 이 문제의 원인을 정확히 알고 해결하여 자주 새로운 사용자를 생성하고 소유권을 다시 할당할 필요가 없도록 하는 것입니다.
답변1
PAM은 성공적인 로그인을 실패한 로그인으로 계산하고 실패 횟수를 재설정하지 않은 것으로 나타났습니다.
PAM의 표준 설정에는 이 문제를 방지하는 줄이 누락된 것 같습니다. 특히 다음 줄이 /sbin/pam.d/common_account표준으로 포함되어야 합니다.
account required pam_tally2.so
이를 포함하면 성공적인 로그인이 실패한 로그인을 0으로 올바르게 재설정하는 것을 볼 수 있습니다.