削除する方法を知りたいですapt install
。
「libpam-shield」を持っていますhttps://packages.debian.org/stable/admin/libpam-shieldサーバー(debian 9、ssh、imapの実行)にインストールされ、繰り返し検証に失敗したIPを防ぐために使用されます。 (私はDebian Stable Storeからインストールしましたapt install libpam-shield
。)後でもう使用しないことにしましたapt remove libpam-shield
。/etc/pam.d/common-auth
auth optional pam_shield.so
/var/log/auth.log
PAM unable to dlopen(pam_shield.so): /lib/security/pam_shield.so: cannot open shared object file: No such file or directory
PAM adding faulty module: pam_shield.so
だから私は上記の行をコメントアウトしましたが、common-auth
それはimapとssh認証の試みに対する認証エラーを引き起こしました。
grep shield -r /etc/pam*
pam_shield
記載されている他の場所は表示されません。見つからないというエラーを削除するには、PAM設定ファイルで他の変更を適用する必要がありますかpam_shield.so
?サーバーを削除して再起動しましたlibpam-shield
。
追加:以下はの行です/etc/pam.d/common-auth
。
auth [success=3 default=ignore] pam_unix.so nullok_secure
auth optional pam_shield.so
auth [success=1 default=ignore] pam_ldap.so use_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
答え1
見ているPAMドキュメント:
より複雑な構文の場合、有効な制御値の形式は次のとおりです。
[値 1 = タスク 1 値 2 = タスク 2...]
[...]
actionN は、次の形式のいずれかを取ることができます。
[...]
N(符号なし整数)
okと同じですが、スタックの次のN個のモジュールをスキップする副作用があります。 Nは0に等しくありません(この場合はokと同じです)。
だから成功=nn行をスキップします。したがって、その行を削除すると、auth optional pam_shield.so
1行をスキップする必要がないため、最初の行は次のようになります。
auth [success=2 default=ignore] pam_unix.so nullok_secure
目標はジャンプすることです。pam_permit.so成功または次の方法(除外pam_shield、後ろに配置してはいけないのか気になりますpam_ldapうまく動作しますが、それについて十分にはわかりません。)
ただし、実際には、これらすべては、パッケージの削除時に(パッケージ内の)コマンドを使用して自動的に管理する必要があります。pam-auth-update
自動再構成を処理します。パッケージの削除中に問題が発生した可能性があります。
すべてのインストールとアンインストールの試みでlibpam シールドそしてlibpam LDAP順序に関係なく、構成は常に期待どおりに処理されます(パッケージを削除するとその行が消えます)、なぜ間違っているのかわかりません。
私は以下をお勧めします:
- 足に銃を撃たないでください。アクセス権を維持または復元する方法は常にあります。
- パッケージを再インストールして再度アンインストールします。libpam シールドディストリビューションに正しい設定を完了させてください。
- ランニング
pam-auth-update
。提供されたリストに「PAM保護:パスワードを推測しようとするIPブロック」は記載されていません。それ以外の場合、問題はまだ存在します。それでも言及されている場合は、正しい設定が再構築されるように無効にすることを選択できます。
アップデート:また、マニュアルページに記載されているように:
スクリプトは /etc/pam.d/common-* へのローカルな変更を尊重するために最善を尽くします。モジュールオプションのリストに対するローカル修正は保持され、スタックの管理対象部分にモジュールを追加すると、pam-auth-update は設定ファイルをローカル修正として処理し、以下を除き設定ファイルを変更しなくなります.必須オプションです。
手動変更がコメントと競合する場合は/etc/pam.d/common-auth
可能です。PAM認証の更新変更しません。次のコマンドを使用して、デフォルトのパッケージ処理にリセットできます。
pam-auth-update --force