为什么这个 PAM 代码会阻止所有登录到 Debian 系统？

Question

为什么将此行添加到/etc/pam.d/common-auth：

auth        required      pam_tally2.so deny=4 unlock_time=1200 even_deny_root

并将这一行添加到/etc/pam.d/common-account：

account     required      pam_tally2.so

阻止所有登录到我的 Debian 10 系统？我的所有其他pam配置文件（login、common-session和common-password与默认值保持不变，但如果需要，我也可以发布这些文件）。

我已经看到了一些其他问题的讨论pam_tally，例如这个、这个和这个，但他们要么没有特定的答案，pam_tally要么根本没有任何答案。

（作为背景，我正在尝试为 Debian 系统调整这个更新的指南）

编辑：libpam-modules安装包。

来自common-auth：

auth    [success=1 default=ignore]  pam_unix.so nullok_secure
auth    required      pam_tally2.so deny=4 unlock_time=1200 even_deny_root
auth    requisite     pam_deny.so
auth    required      pam_permit.so

来自common-account：

account required      pam_tally2.so
account [success=1 new_authtok_reqd=done default=ignore]    pam_unix.so 
account requisite     pam_deny.so
account required      pam_permit.so

Answer 1

这个答案有两个部分。第一个添加pam_tally2到auth. 第二个将其添加到account. 您需要这两个部分pam_tally2才能正常工作。

我们来看看common-auth。

auth    [success=1 default=ignore]  pam_unix.so nullok_secure
auth    required      pam_tally2.so deny=4 unlock_time=1200 even_deny_root
auth    requisite     pam_deny.so
auth    required      pam_permit.so

第一行说：“尝试使用 UNIX ( /etc/passwd) 身份验证。如果成功，则跳过一行并继续。否则继续下一步。”

1. 成功：我们跳过一行 ( success=1)，即pam_tally2，然后命中pam_deny拒绝登录
2. 失败：我们点击pam_tally2然后pam_deny，拒绝登录

部分解决方案是将pam_tally2列表放在堆栈顶部。（您可能认为更改success=2会起作用，但这会跳过pam_tally2成功的身份验证，因此只能在超时到期后从失败中重置。）这是我的，来自一个相当普通的 Debian 系统：

auth    required                        pam_tally2.so deny=5 unlock_time=1200 even_deny_root
# here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]      pam_unix.so nullok_secure
# here's the fallback if no module succeeds
auth    requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth    optional                        pam_cap.so
# end of pam-auth-update config

这会增加计数，但您需要一种在成功登录后无需使用pam_tally2命令即可重置计数的方法。不是特别明显的是，您需要添加pam_tally2.so到该account部分，也作为第一个条目

account required                        pam_tally2.so onerr=fail

我已经对此进行了测试，但是当您尝试它时，请确保在目标计算机上打开了一个额外的 root shell，以便您可以恢复对 PAM 配置的任何更改！

你可以看到什么是上会tail -F /var/log/auth.log和watch pam_tally2 --user {user}。

请注意，一旦尝试验证，计数就会增加，并且仅在成功时重置，因此计数限制必须比允许的尝试次数大 1。