Я настроил образы AWS и Kubuntu, оба с принципами тестирования производительности CIS, изложенными наhttps://www.cisecurity.org/cis-benchmarks/будучи примененным.
Время от времени в течение этого времени я сталкивался с проблемами с аутентификацией, которые можно описать только как странные.
Машина перестает принимать пароль, и выдается сообщение о том, что пароль неверный.
Затем я попытался решить эту проблему следующим образом:
- Проверка прав доступа к файлам в папке пользователей. Не повезло, права доступа в порядке, а беспарольная аутентификация по-прежнему отлично работает.
- Используя root через второго пользователя на машине, проверяю права доступа к 8 файлам безопасности в
/etc/(passwd,groups,shadow,gshadow, и их аналоги). Не повезло, права доступа в порядке, и все остальные пользователи работают - Используя root через второго пользователя, проверьте целостность строк в файлах, перечисленных выше. Не повезло, строки совпадают с другими строками
- Используя root через второго пользователя, сбросьте пароль проблемного пользователя. Не повезло, пользователь все еще не может войти, даже когда пароль был установлен на пустого пользователя
- Используя root через второго пользователя, создайте нового пользователя, удалив старого. Работает, пока проблема не повторится.
Образы на Amazon загружаются в новые коробки по мере необходимости, а машины Kubuntu используются нечасто, но это позволило сделать несколько интересных выводов:
- Похоже, это происходит после ряда успешных аутентификаций: если буферизация образа Amazon проходит нормально в течение нескольких аутентификаций, а затем дает сбой, буферизация другого образа Amazon в тот же момент даст сбой.
- Перепрошивка корневого раздела, похоже, решает эту проблему, исключая /var и /home из числа проблем, поскольку они находятся на разных разделах на компьютерах с Kubuntu.
Мне бы хотелось точно знать, что является причиной этого, и решить эту проблему, чтобы мне не приходилось создавать новых пользователей и переназначать владельцев так часто.
решение1
Оказывается, PAM подсчитывал успешные входы как неудачные и никогда не сбрасывал счетчик неудачных входов.
PAM, похоже, не хватает строки в своей стандартной настройке, которая должна предотвратить эту проблему. В частности, следующая строка должна быть в /sbin/pam.d/common_accountкачестве стандартной
account required pam_tally2.so
После того, как я это включил, я увидел, что успешные входы корректно сбрасывают неудачные входы на 0.