centos配置pam_tally.so导致的su故障

最新推荐文章于 2024-07-01 11:36:50 发布
最新推荐文章于 2024-07-01 11:36:50 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: Linux & DevOps 文章标签: centos 服务器 linux 安全 信息安全
原文链接:https://blog.csdn.net/qq_43584691/article/details/107630803
版权

环境

操作系统版本:rhel6.8
导致故障的前提

为了修复一个低危的系统安全漏洞,导致了使用su的密码验证一直错误(普通用户和root用户)
低危漏洞

检查是否配置账户认证失败次数限制(最大值:6)
修改建议

Redhat:编辑/etc/pam.d/system-auth文件配置:auth required pam_tally.so deny=5 unlock_time=600account required pam_tally.so

按修改建议配置好之后用普通用户(配置了进制roo远程连接功能)可以ssh远程连接到服务器。
但是使用su切换用户的时候一直提示密码错误

[user@localhost ~]$ su - root
Password: 
su: incorrect password

排查方法

1 打开系统日志(实时)

tail -f /var/log/secure

1

2 使用su命令

[zxt2000@localhost ~]$ su - root
Password:
su: incorrect password
日志报错

Jul 27 18:53:07 localhost su: PAM unable to dlopen(/lib64/security/pam_tally.so): /lib64/security/pam_tally.so: cannot open shared object file: No such file or directory
Jul 27 18:53:07 localhost su: PAM adding faulty module: /lib64/security/pam_tally.so
故障原因

没有/lib64/security/pam_tally.so共享对象文件
解决方法

没有/lib64/security/pam_tally.so,但是会存在/lib64/security/pam_tally2.so共享对象文件

解决方法一:
将配置文件中的pam_tally.so修改为pam_tally2.so

vim /etc/pam.d/system-auth
auth required pam_tally2.so deny=5 unlock_time=600
account required pam_tally2.so

解决方法二:
创建/lib64/security/pam_tally.so软连接

ln -s  /lib64/security/pam_tally2.so  /lib64/security/pam_tally.so
xmayu
关注
专栏目录
Linux: pam: PAM adding faulty module: /usr/lib/security/pam_pwquality.so
mzhan017的博客
08-02 1744
pam里的这个配置文件使用这个so文件:password-auth/system-auth 这两个文件使用。那可能还是其他程序使用到了这个so。从日志里看,应该是sshd使用了这个。但是这里使用到的文件是64位的,怎么会调用到32位的so文件?那如果缺少这个包的影响是什么?缺少32bit的这个安装包。
Linux笔记 No.22---(Linux - PAM)
weixin_45880055的博客
11-11 2064
Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 可插拔身份认证模块(Pluggable Authentication Module,PAM)是一套共享库,使本地系统管理员可以灵活选择程序的认证方式。主
CentOS8下启动redis报错
chao_Kid的博客
02-02 1288
CentOS8下启动redis报错欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入...
centos系统配置密码复杂度
最新发布
weixin_48827198的博客
07-01 662
centos密码复杂度配置centos登录失败处理配置centos超时自动退出配置centos密码定期更换配置
配置pam_tally.so导致su故障
panbuhei
07-28 7320
配置pam_tally.so(口令认证失败次数)后 vim /etc/pam.d/system-auth 添加 auth required pam_tally.so deny=5 unlock_time=600 account required pam_tally.so su命令的密码验证一直失败
Ubuntu 22报错:PAM unable to dlopen(pam_tally2.so)
工具人的博客
09-11 2548
ubuntu 22安装好后,普通用户一直登录不上,查看/var/log/auth.log发现报错。查看文档发现Ubuntu 22.04系统中。再重启sshd服务,普通用户就可以连接了。来代替,但是PAM文件中默认还是在使用。这个模块已经不再被使用,需要使用。,这里就需要手动修改一下。
ftp pam mysql_ftp服务结合pam_mysql 使用错误
weixin_30079201的博客
01-26 131
一.错误问题[[emailprotected]pam.d]#tail/var/log/secureSep1211:39:48RedHat-5vsftpd:PAMaddingfaultymodule:/lib/security/pam_mysql.soSep1211:42:39RedHat-5vsftpd:PAMunabletodlopen(/lib/sec...
Linux系统升级openssh后登录pam_tally2.so计数不清零问题解决
空巢青年_rui的博客
07-24 6801
Linux系统pam_tally2登陆成功后失败计数不清零问题解决 问题描述 linux系统(影像版本包括centos6.x,centos7.x和ubuntu14.04、16.04、18.04等使用pam_tally2策略限制ssh登录失败次数的系统)的/etc/pam.d/sshd pam策论配置文件修改添加限制用户登录次数的策略: auth required pam_tally2.so onerr=fail deny=10 unlock_time=1800 even_deny_root root_u
CentOS7登录安全修复——密码复杂度-登录限制-root限制登录
yang18600的博客
12-29 7658
CentOS7登录安全修复——密码复杂度-登录限制-root限制登录
suse账号解锁_Linux多次登录失败用户被锁定使用Pam_Tally2解锁
weixin_33648811的博客
12-23 3863
Linux系统中,用户多次登录失败会被锁定,一段时间内将不能再登录系统,这是一般会用到Pam_Tally2进行账户解锁。了解PAMLinux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。Linux-PAM是一套适用于Linux的身份验证共享库系统,它为系统中的应用程序或服务提供动态身份验证模块支持。在Linux中,PAM是可动态...
Centos7十五项安全加固标准配置(结合等保3)
Wizard_1的博客
11-07 5854
加固服务器安全策略
centos 等保三级_linux-centos7 基于等保3的系统安全体系
weixin_39595302的博客
01-15 873
sshd配置配置文件:/etc/ssh/sshd_configNote: 更改ssh相关配置后需要重启sshd服务 systemctl restart sshdssh访问控制AllowUsers AllowGroups DenyUsers DenyGroups 配置加密算法Ciphers aes256-ctr,aes192-ctr,aes128-ctr # 使用已批准的加密类型MACs hmac...
Linux共享文件夹打不开,加载共享库时发生Linux错误:无法打开共享对象文件:没有这样的文件或目录...
weixin_42303003的博客
04-28 1124
该程序是Xenomai测试套件的一部分,可从Linux PC交叉编译为Linux + Xenomai ARM工具链。# echo $LD_LIBRARY_PATH/lib# ls /libld-2.3.3.so libdl-2.3.3.so libpthread-0.10.sold-linux.so.2 libdl.so.2 libpthre...
centos7 普通用户使用sudo命令自动增加一次pam_tally2错误 ~ 已解决
醉世老翁的博客
07-27 1073
机器升级sudo后,使用普通用户秘钥登录,普通用户登录,使用sudo就会自动增加一次错误计数 情景复现: 查看计数器错误次数 目前是普通用户,使用sudo看看 sudo命令使用成功 查看错误次数,自动添加了1个 查看日志 /var/log/secure 问题原因: 参考资料后,发现了个文件,/etc/pam.d/system-auth 最后发现原因就在这行 auth required pam_tally.so onerr=fa...
linux设置登录失败处理功能(密码错误次数限制、pam_tally2.so模块)和操作超时退出功能(/etc/profile)
hjxloveqsx的博客
02-13 1万+
linux设置登录失败处理功能(密码错误次数限制、pam_tally2.so模块)和操作超时退出功能(/etc/profile)
linux设置登录失败处理功能
fhw925464207的博客
06-06 3765
上面的错误意思是在/lib64/security/ 下面找不到pam_tally.so,而我进入到目录下,确实没找到这个文件,解决方法是将现有的 pam_tally2.so做个软连接到pam_tally.so。root_unlock_time=300 #与even_deny_root相对应的选项,如果配置该选项,则root用户在登录失败次数超出限制后被锁定指定时间为300秒。(1)编辑系统/etc/pam.d/sshd文件,添加的内容与服务器终端的一致。1、登录失败处理功能策略(服务器终端)
openssh升级遇到的坑
热门推荐
weixin_37565541的博客
07-06 1万+
升级参考文章: https://www.cnblogs.com/nmap/p/10779658.html(centos7 升级openssh到openssh-8.0p1版本) https://blog.csdn.net/qq_38000902/article/details/80969769(Linux Centos7 OpenSSH版本低导致安全漏洞 升级OpenSSH和OpenSSl来修......
centos7 system-auth文件中pam_pwquality.so 配置
06-03
CentOS 7中,`/etc/pam.d/system-auth`文件中的`pam_pwquality.so`通常如下所示: ``` password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= ``` 该配置行的意思是: - `password`: 表示该配置行用于密码更改验证。 - `requisite`: 表示该模块是必需的,并且如果该模块返回错误,则PAM堆栈会立即停止处理。 - `pam_pwquality.so`: 表示使用`pam_pwquality.so`模块进行密码强度验证。 - `try_first_pass`: 表示PAM会尝试使用先前提供的身份验证令牌(例如用户名和密码)来进行密码更改。 - `local_users_only`: 表示该模块仅适用于本地用户,不适用于远程用户。 - `retry=3`: 表示在提示用户之前,PAM将尝试3次密码更改。 - `authtok_type=`: 表示PAM将使用默认的密码令牌类型进行密码更改验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值