BCLinux8U6系统基线加固致无法su的问题分析

65 篇文章 0 订阅
53 篇文章 0 订阅
本文分析了在BCLinux8U6系统上进行基线加固时,由于pam_tally2模块被pam_faillock替代,导致su切换用户失败。文章提供了两种解决方案:替换文件或修改基线检查脚本以适应系统版本。最终作者选择后者以保持系统兼容性。
摘要由CSDN通过智能技术生成

本文对BCLinux8U6系统进行基线加固致无法su的问题分析。

一、问题现象

对BCLinux8U6系统进行基线加固,su切换用户失败,报错信息如下:

[ABCD@localhost ~]$ su -
密码:
su: 模块未知

二、问题分析

1、错误排查 

出错前,按照系统安全加固基线要求,对/etc/pam.d/system-auth进行了修改,修改添加了以下内容:

cat /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authselect is run.
auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=5 unlock_time=900 even_deny_root
auth        required      pam_tally2.so onerr=fail deny=5 unlock_time=900 even_deny_root

 从控制台登录,对添加内容进行注释测试,发现是“auth        required      pam_tally2.so onerr=fail deny=5 unlock_time=900 even_deny_root”这一行有问题。注释后问题即解决。

2、问题定位

经深度摸排,BCLinux8U6系统已经不再支持pam_tally2模块,用pam_faillock模块这个模块进行了替代,用于记录并限制用户尝试登录的失败次数。而安全基线无法准确识别到BCLinux8U6系统的版本信息,它会尝试检查pam_tally2.so 这一行的配置,而未检查pam_faillock.so配置。

三、问题解决

知道问题原因了,要解决基线扫描问题,又不影响系统运行,可以采用以下两种办法:

1、方法一:

文件替换法,实测pam_faillock.so模块替代pam_tally2.so且完全支持pam_tally2.so相关配置,因此可以复制一份pam_faillock.so模块文件命名为pam_tally2.so:

cp /usr/lib64/security/pam_faillock.so /usr/lib64/security/pam_tally2.so

保留/etc/pam.d/system-auth文件中“auth        required      pam_tally2.so onerr=fail deny=5 unlock_time=900 even_deny_root”配置。实测运行正常。

2、方法二:

引导基线检查程序正常运行,经排查,基线检查程序是用的redhat系统脚本来运行,当检查到系统版本大于6小于8.2时,就转为检查pam_faillock.so模块了,因此可经设置相应版本文件来诱导基线检查程序正常运行:

echo "bclinux8.0" >/etc/redhat-release

基线检查脚本提取到8.0的版本信息后,自动转为检查pam_faillock.so模块,无需配置pam_tally2.so模块行,基线即已合规。

最后采用方法二进行解决,毕竟BCLinux8U6系统已经淘汰pam_tally2.so模块,这样子操作对系统实际上没有任何影响。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

代先生.重庆

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值