问题记录——/etc/pam.d/common-auth 修改后无法登录服务器系统(SuSE 12 SP5)

背景:

为了响应公司三级等保问题的整改要求,我们需要对suse12 SP5系统的服务器进行登录失败处理功能的配置。具体方法是在/etc/pam.d/common-auth文件中添加相关参数策略,以便在用户连续登录失败一定次数后,账户能够自动锁定一段时间。

配置内容如下:

auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=10
这一配置的目的是:当普通用户连续登录失败5次时,账户将被锁定300秒;而对于root用户将被锁定10秒。

 

然而,在配置完成后,我们尝试断开当前session并重新登录服务器时,发现无法登录,系统一直提示输入密码。如图:

解决方案:

针对这个问题,可以采取以下几种解决方案:

  1. 如果此时服务器还有其他session处于连接状态,最简单的方法是直接注释掉/etc/pam.d/common-auth文件中的相关配置内容。这样,登录失败处理功能将暂时失效,从而允许用户正常登录服务器。

  2. 如果无法通过其他session进行修改,可以尝试重启服务器并进入单用户模式进行修改。具体步骤如下:
  • 在启动过程中,按e键进入启动项编辑模式,在内核引导行后添加参数:init=/bin/bash

  • 完成后,根据提示使用Ctrl-x或F10进行引导。

  • 此时,服务器将以单用户模式启动,并显示#号提示符,表示已拥有服务器的root访问权限。需要注意的是,此时根文件系统是以只读模式挂载的。
  • 接下来,需要重新以读写权限挂载根文件系统,使用命令:mount -o remount,rw /
  • 然后,编辑/etc/pam.d/common-auth文件,我们可以看到新添加得那条配置中 "pam_tally2.so" 后面有乱码出现,查看日志里得报错提示:没有这个目录或文件,将乱码删除,保存重启服务器系统

服务器日志内容:

  • 保存并退出编辑器后,重启系统,即可正常登录。

 

编辑/etc/pam.d/common-accout文件添加内容: auth required pam_tally2.so 

 

posted @ 2024-03-06 13:33  太阳的阳ฅ  阅读(641)  评论(0编辑  收藏  举报