Redhat关于pam_tally2计数器在每次sudo时都增加的bug

最新推荐文章于 2024-05-16 23:28:52 发布
最新推荐文章于 2024-05-16 23:28:52 发布
阅读量5.9k 收藏 4
点赞数
分类专栏: Linux 文章标签: centos pam_tall2 sudo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/napolunyishi/article/details/23375927
版权

这个问题跟sudo的版本有关,有人说在sudo 1.7.6p1之后已经OK了,谨以此文献给那些被百度搞得一头雾水而谷歌又被墙的同学。

我用的sudo是1.7.2p1版本,CentOS5.9,问题现象先描述一下:

使用pam_tally2模块来实现用户多次输入密码错误后锁住账号一段时间的需求,在/etc/pam.d/system-auth中增加pam_tally2的rule

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_tally2.so deny=5 onerr=fail unlock_time=10
auth        sufficient    pam_unix.so try_first_pass nodelay

配置完成后先用login或者ssh的方式验证一下,当用户错误输入密码5次后,账户都会被锁住10秒钟;账户解锁后输入正确的密码,pam_tally2的计数器清零。
查看计数器的命令如下:

pam_tally2 --user=admin

显示结果如下:

[root@space-000c29c16417 pam.d]# pam_tally2 --user=admin
Login           Failures Latest failure     From
admin               2    04/10/14 11:21:16  /dev/pts/0

但是在使用sudo的时候发现计数器不能正常清零,只要执行sudo,计数器就一直累加,不清零,除非使用命令手工清零

pam_tally2 --user=admin --reset

锁定的行为也变得无章可循,执行几次后账户就会被锁住。

[admin@space-000c29c16417 root]$ sudo bash -c "echo aaa"
[sudo] password for admin: 
Sorry, try again.
[sudo] password for admin: 
Sorry, try again.
[sudo] password for admin: 
Sorry, try again.
[sudo] password for admin: 
aaa
[admin@space-000c29c16417 root]$ sudo bash -c "echo aaa"
[sudo] password for admin: 
Sorry, try again.
Your account is locked. Maximum amount of failed attempts was reached.
[sudo] password for admin:
可以看到我在第四次的时候已经正确输入了密码,屏幕打印出“aaa",但是当我再次输入错误密码时,我的账号还是被锁住了。查看计数器失败次数已经超过5次 

[root@space-000c29c16417 pam.d]# pam_tally2 --user=admin
Login           Failures Latest failure     From
admin               6    04/10/14 11:27:14  /dev/pts/0


这个问题是redhat的一个bug,能够找到bug号,里面有一个临时解决方案,最新的sudo版本应该已经解决了这个问题

https://bugzilla.redhat.com/show_bug.cgi?id=707660

解决办法是在system-auth配置文件的account段增加下面一行配置

account     required      pam_tally2.so
这样可以让计数器在每次sudo输入正确密码后清零。pam_tally2的文档这样解释:

Account phase resets attempts counter if the user is not magic root.This phase can be used optionally for services which don't call pam_setcred(3) correctly or if the reset should be done regardless of the failure of the account phase of other modules." 

这个问题一个可能的原因是sudo模块在执行具体动作之前关闭了pam的session,没有正确调用pam_setcred(),导致返回失败的错误码,pam_tally2计数器累加。

补充一下发现的另一个问题:

似乎sudo和pam_tally2配合有很多问题,最近有问题说在输入错误密码5次后,账户被锁,等待超时,超时结束后第一次即使输入了正确密码,也还是提示“sorry, try again",第二次输入才通过。实验了半天,没看pam_tally的代码, 感觉似乎还是有bug,但是有解决方案,就是将后面的pam_uinx提到pam_tally前,因为它是sufficient的,所以只要通过,就不会再走pam_tally,问题解决。但是交换位置后会导致pam_tally的计数器不会清零,可能有其他副作用。

还有,之前配置有一个错误,rhel5的pam_tally不支持"no_magic_root"参数,去掉了


李子无为
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
centos7 普通用户使用sudo命令自动增加一次pam_tally2错误 ~ 已解决
醉世老翁的博客
07-27 1052
机器升级sudo后,使用普通用户秘钥登录,普通用户登录,使用sudo就会自动增加一次错误计数 情景复现: 查看计数器错误次数 目前是普通用户,使用sudo看看 sudo命令使用成功 查看错误次数,自动添加了1个 查看日志 /var/log/secure 问题原因: 参考资料后,发现了个文件,/etc/pam.d/system-auth 最后发现原因就在这行 auth required pam_tally.so onerr=fa...
linux主机用户登录不了,RedHat Linux 用户登录认证失败
weixin_36035900的博客
04-28 1417
今天客户反映一个问题,ssh不上自己的服务器了,进机房RedHat Linux本地登录(3级别)的候发现输入root敲回车的候出现如下提示:Your account is locked.Maximum amount of failed attempts was reached.好说,单用户模式下pam_tally2 -u root (faillog -u root)显示root用户登录失败记...
触发pam_tally2模块机制导致登录失败
IT民工金鱼哥,专注运维技术。
04-18 4864
在生产环境中,如果设置了pam_tally2模块限制,则需要了解好其限制的规则情况,也要知道触发规则出现不能登录应该如何进行处置。本文以两天所遇到的情景而进行分析和讲述,希望对看到本文的小伙伴有所启示。
操作系统账户锁定(pam_tally, faillock,usermod,expires)
最新发布
wangchao2679的博客
05-16 1408
pam_tally, faillock,usermod,expires
linux红帽机器用户解锁,redhat – 在RHEL6中使用pam_tally2进行帐户锁定
weixin_42228776的博客
05-03 880
我在每个策略登录3次失败后使用pam_tally2来锁定帐户,但是,连接用户没有收到指示pam_tally2的操作的错误. (通过SSH.)我希望在第4次尝试看到:Account locked due to 3 Failed logins没有必要或必需的组合或文件中的顺序似乎有帮助.这是在Red Hat 6下,我使用的是/etc/pam.d/password-auth.锁定确实按预期工作,但用户...
linux用户解锁pam_tally,多次登录失败用户被锁定及使用Pam_Tally2解锁
weixin_30979229的博客
04-28 7139
在linux系统中,用户多次登录失败会被锁定,一段间内将不能再登录系统,这是一般会用到Pam_Tally2进行账户解锁。了解PAMLinux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。Linux-PAM是一套适用于Linux的身份验证共享库系统,它为系统中的应用程序或服务提供动态身份验证模块支持。在Linux中,PAM是可动态...
java-11-openjdk-11.0.6.10-2.windows.redhat.x86_64.msi
04-02
The Red Hat build of OpenJDK is a free and open source implementation of the Java Platform, Standard Edition (Java SE).
pam_krb5+ldap-开源
07-17
使用 Kerberos 进行主要身份验证,并可以选择根据从 OpenLDAP/Active Directory 检索的数据创建本地无密码帐户。 基于来自 http://people.redhat.com/nalin/pam_krb5/ 的 pam_krb5-2.3.1-1 版本。
oralce 11g 单机 for redhat_6.4_x64 rpm安装包
01-30
oracle 11g 单实例数据库for redhat 6.4_x64 RPM安装包集合(内涵安装命令
RedHat_6.1安装Oracle_11
05-17
在本文档中,我们将详细介绍如何在 RedHat 6.1 操作系统上安装 Oracle 11g 数据库 Release 11.2.0.3 的全过程。这包括了必要的系统配置调整、所需的软件包安装以及最终的数据库安装步骤。 #### 一、准备工作与系统...
Linux系统升级openssh后登录pam_tally2.so计数不清零问题解决
空巢青年_rui的博客
07-24 6663
Linux系统pam_tally2登陆成功后失败计数不清零问题解决 问题描述 linux系统(影像版本包括centos6.x,centos7.x和ubuntu14.04、16.04、18.04等使用pam_tally2策略限制ssh登录失败次数的系统)的/etc/pam.d/sshd pam策论配置文件修改添加限制用户登录次数的策略: auth required pam_tally2.so onerr=fail deny=10 unlock_time=1800 even_deny_root root_u
linux使用pam_tally2.so模块限制登录3次失败后禁止5分钟
amb61523的博客
08-29 2543
在线上的服务器有需要限制用户登录次数.这个功能可以通过pampam_tally2.so模块来实现   PAM模块是用sun提出的一种认证机制 pam_tally2.so模块 一.格式 pam_tally2.so [file=/path/to/counter] [onerr=[fail|succeed]] [magic_root] [even_deny_root] [den...
配置pam_tally.so导致的su故障
panbuhei
07-28 7179
配置pam_tally.so(口令认证失败次数)后 vim /etc/pam.d/system-auth 添加 auth required pam_tally.so deny=5 unlock_time=600 account required pam_tally.so su命令密码验证一直失败
Linux安全策略配置-pam_tally2身份验证模块
am540的博客
05-21 7300
文章目录关于PAMPAM身份验证配置文件PAM配置文件语法格式PAM模块接口(模块管理组)PAM控制标志PAM配置方法PAM身份验证安全配置实例一、强制使用强密码(用户密码安全配置)pam_tally2 -u username -r --resetpam_tally2 -u usernameusermod -a -G wheel usernamecp /etc/securetty /etc/securetty.savedecho "" >/etc/securettyrpm -ivh https://m
多次登录失败用户被锁定及使用Pam_Tally2解锁
weixin_34329187的博客
11-26 5652
在linux系统中,用户多次登录失败会被锁定,一段间内将不能再登录系统,这是一般会用到Pam_Tally2进行账户解锁。 了解PAM Linux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。Linux-PAM是一套适用于Linux的身份验证共享库系统,它为系统中的应用程序或服务提供动态身份验证模块支持。在Linux中,PAM是可...
linux服务器设置用户连续错误登录次数和锁定用户
u010705742的博客
12-12 8315
执行 vim /etc/pam.d/login 在#%PAM-1.0 下新起一行,加入 auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10 如果不限制root用户,则可以写成 auth required pam_tally2.so deny=3 unlock_time=5 ...
pam_tally.so模块详细介绍
小庄往左走
03-17 8599
pam_tally.so模块详细介绍 来源: ChinaUnix博客  日期: 2009.06.27 00:21 (共有0条评论) 我要评论 pam_tally - login counter (tallying) modulepam_tally.so [ file=/path/to/counter ] [
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值