Tôi đang gặp sự cố mà tôi gần như chắc chắn có liên quan đến cách tôi đã định cấu hình khóa dự phòng trong xác thực hệ thống PAM và xác thực mật khẩu trên một số máy chủ RHEL7. Chúng tôi được yêu cầu sử dụng STIG, vì vậy tôi phải sử dụng khóa dự phòng với các tùy chọn cụ thể được liên kết với nó. Đối với quyền truy cập chung của người dùng thông qua SSH, mọi thứ đều ổn. Sự cố chỉ xuất hiện khi chạy quét Nessus/lỗ hổng thông qua tên người dùng và mật khẩu để xác thực. Điều kỳ lạ là, tôi có thể SSH vào và chạy tất cả các lệnh sudo bằng cùng một tài khoản quét và trình quét không báo cáo vấn đề gì khi xác thực ban đầu. Tuy nhiên, tại một số điểm, quá trình quét đánh trúng 3 mật khẩu không hợp lệ và kích hoạt faillock để ngăn truy cập. Từ các nhật ký tôi đã xem, tôi đoán là mật khẩu bị lỗi khi nó được sử dụng cho sudo, mà tôi tin rằng đó là tệp xác thực hệ thống. Nếu tôi loại bỏ các cấu hình faillock ra khỏi xác thực mật khẩu và xác thực hệ thống của mình, quá trình quét sẽ chạy tốt. Nếu tôi sử dụng tài khoản AD, tôi không gặp phải vấn đề này, nhưng tôi tin rằng đó chỉ là do tài khoản AD không bị ràng buộc với khóa dự phòng. Vấn đề này cũng chỉ xảy ra sau khi chúng tôi tích hợp máy chủ RHEL7 của mình vào AD thông qua sssd, nhưng quá trình đó cũng yêu cầu chạy một số thay đổi authconfig.
Đây là tệp authconfig tôi hiện đang sử dụng, nhưng tôi đã thử một vài biến thể với việc thay đổi vị trí dòng, số lượng dòng cần bỏ qua, v.v., tất cả đều không thành công. Nó có thể là một cái gì đó hiển nhiên, nhưng tôi không phải là một người đàn ông thông minh.
yêu cầu xác thực pam_env.so
yêu cầu xác thực pam_faildelay.so delay=2000000
auth bắt buộc pam_faillock.so preauth kiểm tra im lặng even_deny_root unlock_time=900 fail_interval=900 deny=3
auth [thành công=xong authinfo_unavail=bỏ qua bỏ qua=bỏ qua mặc định=die] pam_pkcs11.so nodebug
auth [mặc định=1 bỏ qua=bỏ qua thành công=ok] pam_succeed_if.so uid >= 1000 yên tĩnh
auth [mặc định=1 bỏ qua=bỏ qua thành công=ok] pam_localuser.so
xác thực đủ pam_unix.so try_first_pass
auth cần thiết pam_succeed_if.so uid >= 1000 silence_success
auth đủ pam_sss.so forward_pass
auth [default=die] pam_faillock.so kiểm toán authfail deny=3 even_deny_root fail_interval=900 unlock_time=900
yêu cầu xác thực pam_deny.so
yêu cầu tài khoản pam_faillock.so
yêu cầu tài khoản pam_unix.so
đủ tài khoản pam_localuser.so
tài khoản đủ pam_succeed_if.so uid < 1000 yên
tài khoản [mặc định=không thành công=ok user_unknown=ignore] pam_sss.so
yêu cầu tài khoản pam_permit.so
yêu cầu mật khẩu pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
đủ mật khẩu pam_unix.so bóng sha512 try_first_pass use_authtok
đủ mật khẩu pam_sss.so use_authtok
yêu cầu mật khẩu pam_pwhistory.so use_authtok nhớ=5 thử lại=3
yêu cầu mật khẩu pam_deny.so
phiên tùy chọn pam_keyinit.so thu hồi
phiên bắt buộc pam_limits.so
-session tùy chọn pam_systemd.so
phiên tùy chọn pam_oddjob_mkhomedir.so umask=0077
phiên [success=1 default=ignore] dịch vụ pam_succeed_if.so trong khoảng thời gian yên tĩnh use_uid
phiên bắt buộc pam_unix.so
phiên tùy chọn pam_sss.so
