構成行に問題があり、common-account-pcrootcommon-auth-pcアクセスも拒否されました。
account required pam_tally2.so deny=10 onerr=fail unlock_time=600 even_deny_root root_unlock_time=5 file=/home/log/faillog
この行は、SUTに何度もアクセスしようとするといくつかの問題を引き起こすようです。ただし、実際にはssh root @を介してサーバー(10.10.10.13)からSUT(100.100.100.100)に複数のコマンドを送信しようとするテストツールです。
Apr 25 05:51:56 SUT sshd[31570]: pam_tally2(sshd:auth): user root (0) tally 83, deny 10
Apr 25 05:52:16 SUT sshd[31598]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.10.10.13 user=root
Apr 25 05:52:21 SUT sshd[31568]: error: PAM: Authentication failure for root from 10.10.10.13
Apr 25 05:52:21 SUT sshd[31568]: Connection closed by 10.10.10.13 [preauth]
パスワードは常に正確ですが、一定時間が経過すると、例外のためにまだロックが開始されます(予想)。
version: 2.3 ($Revision: 399 $)
command: /usr/bin/ssh
args: ['/usr/bin/ssh', '[email protected]']
searcher: searcher_re:
0: re.compile(".*:~ #")
buffer (last 100 chars): :
Account locked due to 757 failed logins
Password:
before (last 100 chars): :
Account locked due to 757 failed logins
Password:
after: <class 'pexpect.TIMEOUT'>
...
しかし、passwdルートによると、LKタグはありません。
SUT:~ # passwd -S root
root P 04/24/2017 -1 -1 -1 -1
SUTはいつでもssh root @を介して手動でアクセスできます!
したがって、現在この問題を引き起こす可能性がある唯一のものはpam構成です。しかし、変更を再開または有効にするにはどうすればよいですか?
他のアイデアを持っている人はいますか?
ありがとうございます副詞。
答え1
PAMデーモンはありません。変更を適用するために何も再ロードする必要はありません。
答え2
私のようにまだこの問題を発見している人のために:
sudo pam-auth-update --force --package
マニュアルページによると、--packageはpam-auth-updateにユーザーが管理者スクリプトであり、インタラクティブにメッセージを表示しないことを伝えます。
編集時にこのコマンドを使用する必要があります/etc/pam.d/common-password。
答え3
より良い方法と短い方法があるかもしれませんが、以下を実行してPAM認証設定の変更を再ロードしました。
sudo /usr/sbin/pam-auth-update
ポップアップウィンドウでは何も変更せずに「OK」を押してください。