问题记录——/etc/pam.d/common-auth 修改后无法登录服务器系统（SuSE 12 SP5）

背景：

为了响应公司三级等保问题的整改要求，我们需要对suse12 SP5系统的服务器进行登录失败处理功能的配置。具体方法是在/etc/pam.d/common-auth文件中添加相关参数策略，以便在用户连续登录失败一定次数后，账户能够自动锁定一段时间。

配置内容如下：

auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=10
这一配置的目的是：当普通用户连续登录失败5次时，账户将被锁定300秒；而对于root用户将被锁定10秒。

 

然而，在配置完成后，我们尝试断开当前session并重新登录服务器时，发现无法登录，系统一直提示输入密码。如图：

解决方案：

针对这个问题，可以采取以下几种解决方案：

1. 如果此时服务器还有其他session处于连接状态，最简单的方法是直接注释掉/etc/pam.d/common-auth文件中的相关配置内容。这样，登录失败处理功能将暂时失效，从而允许用户正常登录服务器。

2. 如果无法通过其他session进行修改，可以尝试重启服务器并进入单用户模式进行修改。具体步骤如下：

• 在启动过程中，按e键进入启动项编辑模式，在内核引导行后添加参数：init=/bin/bash。

• 完成后，根据提示使用Ctrl-x或F10进行引导。

• 此时，服务器将以单用户模式启动，并显示#号提示符，表示已拥有服务器的root访问权限。需要注意的是，此时根文件系统是以只读模式挂载的。

• 接下来，需要重新以读写权限挂载根文件系统，使用命令：mount -o remount,rw /。

• 然后，编辑/etc/pam.d/common-auth文件，我们可以看到新添加得那条配置中 "pam_tally2.so" 后面有乱码出现，查看日志里得报错提示：没有这个目录或文件，将乱码删除，保存重启服务器系统

服务器日志内容：

• 保存并退出编辑器后，重启系统，即可正常登录。

 

编辑/etc/pam.d/common-accout文件添加内容: auth required pam_tally2.so