pam_shield.so 제거 후 PAM 오류

tag-icon tag-icon debian pam
pam_shield.so 제거 후 PAM 오류

제거하는 방법을 알고 싶습니다 apt install.

나는 "libpam-shield"를 가지고 있습니다https://packages.debian.org/stable/admin/libpam-shield서버(debian 9, ssh, imap 실행)에 설치되어 반복 검증에 실패한 IP를 방지하는 데 사용됩니다. ( 저는 데비안 안정 저장소 에서 설치 했습니다 apt install libpam-shield.) 나중에 더 이상 사용하지 않기로 결정 하여 apt remove libpam-shield./etc/pam.d/common-authauth optional pam_shield.so/var/log/auth.log

PAM unable to dlopen(pam_shield.so): /lib/security/pam_shield.so: cannot open shared object file: No such file or directory
PAM adding faulty module: pam_shield.so

그래서 위에서 언급한 줄을 주석 처리했지만 common-auth이로 인해 imap 및 ssh 인증 시도에 대한 인증 오류가 발생하기 시작했습니다.

grep shield -r /etc/pam*pam_shield언급된 다른 위치는 표시되지 않습니다 . 찾을 수 없다는 오류를 제거하려면 PAM 구성 파일에서 어떤 다른 변경 사항을 적용해야 합니까 pam_shield.so? 서버를 제거하고 다시 시작했습니다 libpam-shield.

추가됨: 아래는 의 줄입니다 /etc/pam.d/common-auth.

auth    [success=3 default=ignore]      pam_unix.so nullok_secure
auth    optional pam_shield.so 
auth    [success=1 default=ignore]      pam_ldap.so use_first_pass
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so

답변1

보고 있다PAM 문서:

보다 복잡한 구문의 경우 유효한 제어 값의 형식은 다음과 같습니다.

    [값 1 = 작업 1 값 2 = 작업 2 ...]

[...]

actionN은 다음 형식 중 하나를 취할 수 있습니다.

[...]

N(부호 없는 정수)

    ok와 동일하지만 스택의 다음 N개 모듈을 건너뛰는 부작용이 있습니다. N은 0과 같을 수 없습니다(이 경우 ok와 동일함).

그래서성공=nn줄을 건너뜁니다. 따라서 해당 줄을 삭제하면 auth optional pam_shield.so한 줄을 덜 건너뛰어야 하므로 첫 번째 줄은 다음과 같습니다.

auth    [success=2 default=ignore]      pam_unix.so nullok_secure

목표는 점프하는 것입니다.pam_permit.so성공 또는 다음 방법(제외pam_shield, 뒤에 배치하면 안되는지 궁금합니다pam_ldap훌륭하게 작동하지만 그것에 대해 충분히 알지 못합니다.)

그러나 실제로 이 모든 것은 패키지 제거 시 (패키지에서) 명령을 사용하여 자동으로 관리되어야 합니다.pam-auth-update자동 재구성을 처리합니다. 패키지를 제거하는 동안 문제가 발생했을 수 있습니다.

모든 설치 및 제거 시도에서libpam 쉴드그리고libpam LDAP순서에 관계없이 구성은 항상 예상대로 처리되는데(패키지를 제거하면 해당 줄이 사라짐) 왜 잘못된 것인지 헷갈리실 겁니다.

나는 다음을 추천한다:

  • 발에 총을 쏘지 않도록 하세요. 액세스 권한을 유지하거나 복원할 수 있는 방법은 항상 있습니다.
  • 패키지를 다시 설치하고 다시 제거합니다.libpam 쉴드배포판이 올바른 설정을 완료하도록 하세요.
  • 달리기 pam-auth-update. 제공된 목록에 "PAM 보호: 비밀번호 추측을 시도하는 IP 차단"이 더 이상 언급되지 않아야 합니다. 그렇지 않으면 문제가 여전히 존재합니다. 여전히 언급되는 경우 올바른 구성이 다시 작성되도록 비활성화하도록 선택할 수 있습니다.

업데이트: 또한 매뉴얼 페이지에 설명된 대로:

스크립트는 /etc/pam.d/common-*에 대한 로컬 변경 사항을 존중하기 위해 최선을 다합니다. 모듈 옵션 목록에 대한 로컬 수정 사항은 유지되며 스택의 관리되는 부분에 모듈을 추가하면 pam-auth-update가 구성 파일을 로컬 수정 사항으로 처리하고 다음을 제외하고는 구성 파일을 더 이상 변경하지 않습니다. 필수 옵션입니다.

수동 변경 사항이 주석과 충돌하는 경우 /etc/pam.d/common-auth가능합니다.PAM 인증 업데이트변경하지 않을 것입니다. 다음 명령을 사용하여 기본 패키지 처리로 재설정할 수 있습니다.

pam-auth-update --force

관련 정보