구성 줄에 문제가 있고 common-account-pc루트 common-auth-pc액세스도 거부되었습니다.
account required pam_tally2.so deny=10 onerr=fail unlock_time=600 even_deny_root root_unlock_time=5 file=/home/log/faillog
이 줄은 SUT에 여러 번 액세스하려고 할 때 몇 가지 문제를 일으키는 것으로 보이며, 이는 ssh를 통한 공격이라고 생각됩니다. 그러나 실제로는 ssh root@를 통해 서버(10.10.10.13)에서 SUT(100.100.100.100)로 여러 명령을 보내려고 시도하는 테스트 도구입니다.
Apr 25 05:51:56 SUT sshd[31570]: pam_tally2(sshd:auth): user root (0) tally 83, deny 10
Apr 25 05:52:16 SUT sshd[31598]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.10.10.13 user=root
Apr 25 05:52:21 SUT sshd[31568]: error: PAM: Authentication failure for root from 10.10.10.13
Apr 25 05:52:21 SUT sshd[31568]: Connection closed by 10.10.10.13 [preauth]
비밀번호는 항상 정확하지만 일정 시간이 지나면 예외로 인해 여전히 잠기기 시작합니다(예상).
version: 2.3 ($Revision: 399 $)
command: /usr/bin/ssh
args: ['/usr/bin/ssh', '[email protected]']
searcher: searcher_re:
0: re.compile(".*:~ #")
buffer (last 100 chars): :
Account locked due to 757 failed logins
Password:
before (last 100 chars): :
Account locked due to 757 failed logins
Password:
after: <class 'pexpect.TIMEOUT'>
...
그러나 passwd 루트에 따르면 LK 태그가 없습니다.
SUT:~ # passwd -S root
root P 04/24/2017 -1 -1 -1 -1
SUT는 언제든지 ssh root@를 통해 수동으로 액세스할 수 있습니다!
따라서 현재 이 문제를 일으킬 수 있는 유일한 것은 pam 구성입니다. 하지만 변경 사항을 다시 시작하거나 활성화하려면 어떻게 해야 합니까?
다른 아이디어가 있는 사람이 있나요?
감사합니다 부사.
답변1
PAM 데몬이 없습니다. 변경 사항을 적용하기 위해 아무것도 다시 로드할 필요가 없습니다.
답변2
나처럼 여전히 이 문제를 발견하는 사람들을 위해:
sudo pam-auth-update --force --package
매뉴얼 페이지에 따르면 --package는 pam-auth-update에게 사용자가 관리자 스크립트이며 대화식으로 메시지를 표시해서는 안 된다는 것을 알려줍니다.
편집할 때 이 명령을 사용해야 합니다 /etc/pam.d/common-password.
답변3
더 좋고 더 짧은 방법이 있을 수 있지만 다음을 실행하여 PAM 인증 구성 변경 사항을 다시 로드했습니다.
sudo /usr/sbin/pam-auth-update
팝업 창에서는 아무 것도 변경하지 말고 "확인"을 누르세요.