pam_shield.so 除去後のPAMエラー

pam_shield.so 除去後のPAMエラー

削除する方法を知りたいですapt install

「libpam-shield」を持っていますhttps://packages.debian.org/stable/admin/libpam-shieldサーバー(debian 9、ssh、imapの実行)にインストールされ、繰り返し検証に失敗したIPを防ぐために使用されます。 (私はDebian Stable Storeからインストールしましたapt install libpam-shield。)後でもう使用しないことにしましたapt remove libpam-shield/etc/pam.d/common-authauth optional pam_shield.so/var/log/auth.log

PAM unable to dlopen(pam_shield.so): /lib/security/pam_shield.so: cannot open shared object file: No such file or directory
PAM adding faulty module: pam_shield.so

だから私は上記の行をコメントアウトしましたが、common-authそれはimapとssh認証の試みに対する認証エラーを引き起こしました。

grep shield -r /etc/pam*pam_shield記載されている他の場所は表示されません。見つからないというエラーを削除するには、PAM設定ファイルで他の変更を適用する必要がありますかpam_shield.so?サーバーを削除して再起動しましたlibpam-shield

追加:以下はの行です/etc/pam.d/common-auth

auth    [success=3 default=ignore]      pam_unix.so nullok_secure
auth    optional pam_shield.so 
auth    [success=1 default=ignore]      pam_ldap.so use_first_pass
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so

答え1

見ているPAMドキュメント:

より複雑な構文の場合、有効な制御値の形式は次のとおりです。

    [値 1 = タスク 1 値 2 = タスク 2...]

[...]

actionN は、次の形式のいずれかを取ることができます。

[...]

N(符号なし整数)

    okと同じですが、スタックの次のN個のモジュールをスキップする副作用があります。 Nは0に等しくありません(この場合はokと同じです)。

だから成功=nn行をスキップします。したがって、その行を削除すると、auth optional pam_shield.so1行をスキップする必要がないため、最初の行は次のようになります。

auth    [success=2 default=ignore]      pam_unix.so nullok_secure

目標はジャンプすることです。pam_permit.so成功または次の方法(除外pam_shield、後ろに配置してはいけないのか気になりますpam_ldapうまく動作しますが、それについて十分にはわかりません。)

ただし、実際には、これらすべては、パッケージの削除時に(パッケージ内の)コマンドを使用して自動的に管理する必要があります。pam-auth-update自動再構成を処理します。パッケージの削除中に問題が発生した可能性があります。

すべてのインストールとアンインストールの試みでlibpam シールドそしてlibpam LDAP順序に関係なく、構成は常に期待どおりに処理されます(パッケージを削除するとその行が消えます)、なぜ間違っているのかわかりません。

私は以下をお勧めします:

  • 足に銃を撃たないでください。アクセス権を維持または復元する方法は常にあります。
  • パッケージを再インストールして再度アンインストールします。libpam シールドディストリビューションに正しい設定を完了させてください。
  • ランニングpam-auth-update。提供されたリストに「PAM保護:パスワードを推測しようとするIPブロック」は記載されていません。それ以外の場合、問題はまだ存在します。それでも言及されている場合は、正しい設定が再構築されるように無効にすることを選択できます。

アップデート:また、マニュアルページに記載されているように:

スクリプトは /etc/pam.d/common-* へのローカルな変更を尊重するために最善を尽くします。モジュールオプションのリストに対するローカル修正は保持され、スタックの管理対象部分にモジュールを追加すると、pam-auth-update は設定ファイルをローカル修正として処理し、以下を除き設定ファイルを変更しなくなります.必須オプションです。

手動変更がコメントと競合する場合は/etc/pam.d/common-auth可能です。PAM認証の更新変更しません。次のコマンドを使用して、デフォルトのパッケージ処理にリセットできます。

pam-auth-update --force

関連情報