ฉันได้ตั้งค่า PAM สำหรับ sshdและ ณ ตอนนี้ /etc/pam.d/sshd ยืนเช่นนี้:
# กำหนดค่า PAM แบบกำหนดเองสำหรับ sshd
# ไม่อนุญาตให้เข้าสู่ระบบหาก /etc/nologin มีอยู่ สืบทอดมาจากการกำหนดค่า sshd เก่า
ต้องใช้บัญชี pam_nologin.so
# กฎ SELinux สืบทอดมาจาก sshd เก่า
เซสชัน [สำเร็จ=ตกลง เพิกเฉย=เพิกเฉย module_unknown=ละเว้น ค่าเริ่มต้น=ไม่ดี] pam_selinux.so ปิด
# ตรวจสอบชื่อผู้ใช้และรหัสผ่านด้วยไบนารีที่กำหนดเอง
รับรองความถูกต้อง [สำเร็จ = ตกลง ค่าเริ่มต้น = ไม่ดี] pam_exec.so expose_authtok /usr/bin/ssh-hash-checker
# ตั้งค่าแอตทริบิวต์กระบวนการเข้าสู่ระบบ สืบทอดมาจาก sshd เก่า
ต้องการเซสชัน pam_loginuid.so
# สร้างพวงกุญแจเซสชันใหม่ สืบทอดมาจาก sshd เก่า
เซสชั่นทางเลือก pam_keyinit.so บังคับเพิกถอน
# การตั้งค่าเซสชันมาตรฐาน Un*x และการแยกส่วน สืบทอดมาจาก sshd เก่า
@รวมเซสชันทั่วไป
#มทป. สืบทอดมาจาก sshd เก่า
เซสชั่นทางเลือก pam_motd.so motd=/run/motd.dynamic
เซสชั่นเสริม pam_motd.so noupdate
#จดหมาย. สืบทอดมาจาก sshd เก่า
เซสชั่นทางเลือก pam_mail.so noenv มาตรฐาน
# ตั้งค่าการจำกัดผู้ใช้จาก /etc/security/limits.conf สืบทอดมาจาก sshd เก่า
ต้องการเซสชัน pam_limits.so
#PAM Env. สืบทอดมาจาก sshd เก่า
ต้องการเซสชัน pam_env.so # [1]
# ใน Debian 4.0 (etch) ตัวแปรสภาพแวดล้อมที่เกี่ยวข้องกับโลแคลถูกย้ายไปที่
# /etc/default/locale อ่านด้วย สืบทอดมาจาก sshd เก่า
ต้องการเซสชัน pam_env.so user_readenv=1 envfile=/etc/default/locale
# กฎ SELinux อีกอันที่สืบทอดมาจาก sshd เก่า
เซสชัน [สำเร็จ=ตกลง เพิกเฉย=เพิกเฉย module_unknown=ละเว้น ค่าเริ่มต้น=ไม่ดี] เปิด pam_selinux.so
ณ ตอนนี้ ฉันได้ทดสอบไบนารีที่กำหนดเองซึ่งตรวจสอบผู้ใช้และรหัสผ่านแล้ว และดูเหมือนว่าจะทำงานได้ดี เนื่องจากรหัสผ่านถูกปฏิเสธโดยไม่มีปัญหาใดๆ เพิ่มเติมเมื่อการเข้าสู่ระบบที่ระบุไม่ถูกต้อง ดังที่ฉันทราบได้จาก สถานะ systemctl รายงาน.
อย่างไรก็ตาม ในความพยายามเข้าสู่ระบบที่ถูกต้อง ฉันได้รับการเข้าสู่ระบบดังต่อไปนี้ สถานะ systemctl:
ร้ายแรง: การเข้าถึงถูกปฏิเสธสำหรับผู้ใช้ <redacted> โดยการกำหนดค่าบัญชี PAM [preauth]
เมื่อค้นหาปัญหาในกูเกิล ฉันพบว่าสิ่งนี้มักเกิดจากการกำหนดค่า access.conf ที่ไม่ถูกต้อง ดังนั้นนี่คือเนื้อหาปัจจุบันของ /etc/security/access.conf:
#คอมเม้นหลายบรรทัดด้านบน...
# อนุญาตให้รูทเข้าสู่ระบบได้จากทุกที่
+:รูท:ทั้งหมด
# อนุญาตให้ <redacted> เข้าสู่ระบบ SSH ผ่าน PAM
+:<redacted>:ทั้งหมด
# ปฏิเสธการเข้าถึงทุกคนจากที่อื่น
-:ทั้งหมด:ทั้งหมด
ฉันไม่ได้เปลี่ยนรหัสผ่านของผู้ใช้เมื่อเร็วๆ นี้ และไม่เคยแก้ไขด้วยตนเอง / etc / เงา ก็ไม่เช่นกัน /etc/passwd.
มีความคิดอะไรบ้างหรือขั้นตอนการแก้ไขจุดบกพร่องเพิ่มเติมที่ฉันสามารถทำได้
พบคำตอบหลังจากการค้นหามากมาย ด้วยเหตุผลบางอย่างที่ฉันยังไม่เข้าใจ pam_nologin.so โมดูลได้รับการปฏิเสธการเข้าถึงแม้จะมี /etc/nologin ไฟล์ไม่มีอยู่จริง ฉันจะค้นหาคำตอบเพิ่มเติมเกี่ยวกับวิธีทำให้กลไกนี้ทำงานได้อย่างถูกต้อง และโพสต์ลิงก์ไปยังคำถามที่สอง หากฉันพบคำตอบที่ชัดเจนและเมื่อใด
แก้ไข: คำถามใหม่
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
