Tôi đã thiết lập cấu hình PAM cho sshd, và tính đến thời điểm hiện tại /etc/pam.d/sshd đứng như thế này:
# Cấu hình PAM tùy chỉnh cho sshd
# Không cho phép đăng nhập nếu /etc/nologin tồn tại, kế thừa từ cấu hình sshd cũ
yêu cầu tài khoản pam_nologin.so
# Quy tắc SELinux. Kế thừa từ sshd cũ
phiên [thành công=ok bỏ qua=bỏ qua module_unknown=bỏ qua mặc định=xấu] pam_selinux.so close
# Kiểm tra tên người dùng và mật khẩu bằng nhị phân tùy chỉnh
auth [success=ok default=bad] pam_exec.so Exposure_authtok /usr/bin/ssh-hash-checker
# Đặt thuộc tính quy trình loginuid. Kế thừa từ sshd cũ
phiên bắt buộc pam_loginuid.so
# Tạo khóa phiên mới. Kế thừa từ sshd cũ
phiên tùy chọn pam_keyinit.so buộc thu hồi
# Thiết lập và phân tích phiên Un*x tiêu chuẩn. Kế thừa từ sshd cũ
@include phiên chung
# MTĐ. Kế thừa từ sshd cũ
phiên tùy chọn pam_motd.so motd=/run/motd.dynamic
phiên tùy chọn pam_motd.so noupdate
# Email. Kế thừa từ sshd cũ
phiên tùy chọn pam_mail.so tiêu chuẩn noenv
# Thiết lập giới hạn người dùng từ /etc/security/limits.conf. Kế thừa từ sshd cũ
phiên bắt buộc pam_limits.so
# PAM Env. Kế thừa từ sshd cũ
phiên yêu cầu pam_env.so # [1]
# Trong Debian 4.0 (etch), các biến môi trường liên quan đến ngôn ngữ đã được chuyển đến
# /etc/default/locale, vì vậy hãy đọc nó. Kế thừa từ sshd cũ
phiên bắt buộc pam_env.so user_readenv=1 envfile=/etc/default/locale
# Một quy tắc SELinux khác được kế thừa từ sshd cũ
phiên [thành công=ok bỏ qua=bỏ qua mô-đun_unknown=bỏ qua mặc định=xấu] pam_selinux.so open
Cho đến bây giờ, tôi đã kiểm tra tệp nhị phân tùy chỉnh để kiểm tra người dùng và mật khẩu và có vẻ như nó hoạt động ổn, vì mật khẩu bị từ chối mà không có bất kỳ sự cố nào khác khi thông tin đăng nhập đã cho không chính xác, như tôi có thể biết từ trạng thái hệ thống bài báo cáo.
Tuy nhiên, trong một lần đăng nhập hợp lệ, tôi nhận được thông tin đăng nhập sau trạng thái hệ thống:
gây tử vong: Quyền truy cập bị từ chối đối với người dùng <đã được xử lý lại> bởi cấu hình tài khoản PAM [preauth]
Khi tìm hiểu vấn đề này trên Google, tôi thấy rằng nguyên nhân thường là do access.conf bị định cấu hình sai, vì vậy đây là nội dung hiện tại của /etc/security/access.conf:
# Nhiều dòng bình luận ở đầu...
# Cho phép root đăng nhập từ bất cứ đâu
+:root:TẤT CẢ
# Cho phép <đã xử lý lại> đăng nhập vào SSH thông qua PAM
+:<đã biên tập lại>:TẤT CẢ
# Từ chối quyền truy cập của mọi người khác từ bất kỳ nơi nào khác
-:TẤT CẢ
Gần đây tôi chưa thay đổi bất kỳ mật khẩu người dùng nào và cũng chưa bao giờ sửa đổi thủ công /etc/shadow cũng không /etc/passwd.
Bất kỳ ý tưởng nào về điều này có thể là gì hoặc bất kỳ bước gỡ lỗi nào khác mà tôi có thể thực hiện?
