问题记录——/etc/pam.d/common-auth 修改后无法登录服务器系统(SuSE 12 SP5)
背景:
为了响应公司三级等保问题的整改要求,我们需要对suse12 SP5系统的服务器进行登录失败处理功能的配置。具体方法是在/etc/pam.d/common-auth文件中添加相关参数策略,以便在用户连续登录失败一定次数后,账户能够自动锁定一段时间。
配置内容如下:
auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=10
这一配置的目的是:当普通用户连续登录失败5次时,账户将被锁定300秒;而对于root用户将被锁定10秒。
然而,在配置完成后,我们尝试断开当前session并重新登录服务器时,发现无法登录,系统一直提示输入密码。如图:
解决方案:
针对这个问题,可以采取以下几种解决方案:
-
如果此时服务器还有其他session处于连接状态,最简单的方法是直接注释掉
/etc/pam.d/common-auth文件中的相关配置内容。这样,登录失败处理功能将暂时失效,从而允许用户正常登录服务器。 - 如果无法通过其他session进行修改,可以尝试重启服务器并进入单用户模式进行修改。具体步骤如下:
- 在启动过程中,按e键进入启动项编辑模式,在内核引导行后添加参数:
init=/bin/bash。
- 完成后,根据提示使用Ctrl-x或F10进行引导。
- 此时,服务器将以单用户模式启动,并显示#号提示符,表示已拥有服务器的root访问权限。需要注意的是,此时根文件系统是以只读模式挂载的。
- 接下来,需要重新以读写权限挂载根文件系统,使用命令:
mount -o remount,rw /。
- 然后,编辑
/etc/pam.d/common-auth文件,我们可以看到新添加得那条配置中 "pam_tally2.so" 后面有乱码出现,查看日志里得报错提示:没有这个目录或文件,将乱码删除,保存重启服务器系统
服务器日志内容:
- 保存并退出编辑器后,重启系统,即可正常登录。
编辑/etc/pam.d/common-accout文件添加内容: auth required pam_tally2.so
