我已經設定了 AWS 映像和 Kubuntu 映像,兩者都遵循 CIS 基準測試原則https://www.cisecurity.org/cis-benchmarks/已被應用。
在這段時間裡,我偶爾會遇到身分驗證問題,只能用奇怪來形容。
機器不再接受密碼 - 並且密碼被報告為不正確。
然後我嘗試透過以下方式解決該問題:
- 檢查使用者資料夾的檔案權限。不幸的是,權限很好,無密碼身份驗證仍然可以完美運行。
- 透過電腦上的第二個使用者使用 root,檢查
/etc/(passwd、groups、shadow、gshadow及其對應項目)中 8 個安全文件的檔案權限。不走運,權限正常,所有其他使用者都可以工作 - 透過第二個使用者使用 root,檢查上面列出的文件中行的完整性。不走運,這些行的計數與其他行類似
- 透過第二個使用者使用 root,重置有問題的使用者的密碼。不幸的是,即使密碼已設定為空白用戶,用戶仍然無法登入
- 透過第二個用戶使用 root,建立一個新用戶並廢棄舊用戶。有效,直到問題再次出現。
亞馬遜上的圖像會根據需要旋轉到新的盒子中,而 Kubuntu 機器並不經常使用,但這帶來了一些有趣的點:
- 這似乎是在多次成功的身份驗證之後發生的:如果假脫機此亞馬遜圖像對於幾次身份驗證來說沒問題,然後失敗,則假脫機此的另一個亞馬遜圖像將在同一點失敗。
- 刷新根分割區似乎可以解決這個問題,排除 /var 和 /home 成為問題的一部分,因為它們位於 Kubuntu 機器上的單獨分割區上
我想要的是確切地知道導致此問題的原因並解決,這樣我就不必經常創建新用戶並重新分配所有權。
答案1
事實證明,PAM 將成功登錄計為失敗登錄,並且從不重置失敗計數。
PAM 的標準設定中似乎缺少一行可以防止此問題。具體來說,以下行應/sbin/pam.d/common_account作為標準
account required pam_tally2.so
添加此內容後,我可以看到成功的登入將失敗的登入正確重置為 0。