Intereting Posts
Каковы опции -use-urandom или –use-random в LUKS? Как быстро передать большой архив (~ 16 ГБ) Перемещенная папка CGI-Bin по ошибке, теперь сайт не будет работать Есть ли альтернатива OpenLDAP / Kerberos? Условно убивая процесс, основанный на его выходе Почему эти бомбы вилки-ракеты работают по-разному, и каково значение & в ней? Ubuntu 14.04.2 LTS: для пользователей NIS SSH работает, но консольный вход и sudo fail Я не могу подключиться к интернету с помощью vmware player с centos Cron запускает скрипт для проверки строки на комментарий Как настроить раскладку клавиатуры в Cinnamon / Ubuntu? lofiadm: пароль через скрипт Как заставить ноутбук спящий режим, когда он достигнет некоторого низкого уровня заряда батареи? Bluetooth-мышь не перезагружается автоматически при перезагрузке Переслать каждый порт в зависимости от домена. Сохранять соотношение экрана при максимальном использовании mplayer

Ubuntu 16 Sudo SU Неверные попытки пароля

Я использую Ubuntu 16.04.3 LTS Server. У меня есть пользователь с привилегиями sudo. Когда я пытаюсь переключиться с текущего пользователя на root, он запрашивает мой пароль. Я ввожу правильный пароль, и он отказывается от моего пароля.

username@server:/ sudo su [sudo] password for username: Sorry, try again. [sudo] password for username: Sorry, try again. [sudo] password for username: sudo: 3 incorrect password attempts 

К счастью, у меня открылось еще одно окно терминала, где я все еще вошел в систему как пользователь root. Поэтому я попытался сбросить пароль для моего пользователя. Он говорит, что я успешно обновил пользователя.

 root@server:/# passwd username Enter new UNIX password: Retype new UNIX password: passwd: password updated successfully 

Поэтому я снова пытаюсь выполнить команду sudo su . Сбой с теми же сообщениями.

Я открываю новое окно терминала для того же пользователя и пытаюсь выполнить sudo su и та же команда не выполняется с теми же сообщениями.

Я также попытался разблокировать пользователя sudo usermod --expiredate -1 username . Это также не решило проблему.

Я также попытался предоставить пользователю “sudo” права usermod -aG sudo username . И у пользователя все еще была проблема.

Я сдался и просто создал нового пользователя с правами sudo и начал использовать нового пользователя. На следующий день у меня начались точно такие же проблемы с новым пользователем.

Команда pwck перечисляет несколько системных учетных записей и сообщений об их домашних каталогах, но ничего больше. Команда grpck не дает никакого сообщения вообще.

Недавно мы добавили аутентификацию “pam” около месяца назад.

/etc/pam.d/sudo

 #%PAM-1.0 session required pam_env.so readenv=1 user_readenv=0 session required pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0 @include common-auth @include common-account @include common-session-noninteractive 

/etc/pam.d/common-auth

 auth required pam_tally2.so deny=5 unlock_time=600 # here are the per-package modules (the "Primary" block) auth [success=1 default=ignore] pam_unix.so nullok_secure # here's the fallback if no module succeeds auth requisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around auth required pam_permit.so # and here are more per-package modules (the "Additional" block) auth optional pam_cap.so # end of pam-auth-update config 

/etc/pam.d/common-account

 # here are the per-package modules (the "Primary" block) account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so # here's the fallback if no module succeeds account requisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around account required pam_permit.so # and here are more per-package modules (the "Additional" block) # end of pam-auth-update config 

/etc/pam.d/common-session-noninteractive

 # here are the per-package modules (the "Primary" block) session [default=1] pam_permit.so # here's the fallback if no module succeeds session requisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around session required pam_permit.so # The pam_umask module will set the umask according to the system default in # /etc/login.defs and user settings, solving the problem of different # umask settings with different shells, display managers, remote sessions etc. # See "man pam_umask". session optional pam_umask.so # and here are more per-package modules (the "Additional" block) session required pam_unix.so # end of pam-auth-update config 

Благодаря @telcoM и @roaima я обнаружил, что причиной проблемы является модуль аутентификации pam.

 root@server:/# pam_tally2 Login Failures Latest failure From username 53 06/05/18 16:53:42 xxx.xxx.xxx.xxx 

Хотя я нашел причину проблемы, я не понимаю поведение. Возможно у меня что-то неправильно настроено в модуле pam. Каждый раз, когда я sudo su (успех или нет), к pam_tally2 добавляется pam_tally2 . Я понятия не имею, почему успешный ввод правильного пароля приведет к увеличению числа неудачных попыток, но это так. Пример ниже.

 pam_tally2 Login Failures Latest failure From username 0 06/05/18 16:53:42 xxx.xxx.xxx.xxx username@server:/ sudo su [sudo] password for username: root@server:/# pam_tally2 Login Failures Latest failure From username 1 06/05/18 16:54:03 xxx.xxx.xxx.xxx 

Использование sudo -s или sudo -i также приводит к увеличению ошибок в pam_tally2 .

Вы упомянули, что есть постоянные попытки входа в систему от неавторизованных внешних пользователей. Если эти нежелательные удаленные попытки входа в систему ссылаются на root или вашу учетную запись пользователя с username пользователя, это может означать, что модуль pam_tally2 блокирует один или оба из них.

Запустите команду pam_tally2 чтобы увидеть, что вызывает сбои. (Вам может понадобиться запустить pam_tally2 --user=username --reset чтобы сбросить блок на username .

В качестве альтернативы, это сообщение о проблеме . Pam_tally2 считает хороший пароль неудачной попыткой входа в систему, если в файле / etc / ssh / sshd_config указано «ChallengeResponseAuthentication yes», что может более точно описать ваш сценарий. (Я все еще работаю над поиском альтернативного источника решения.)


Кстати, несмотря на все лучшие (но неправильные) усилия Canonical, вам никогда не нужно использовать sudo su для чего-либо. (Это все равно, что сказать « Дайте мне root? Хорошо, спасибо. Теперь я root, мне нужно стать root ».) Попробуйте sudo -s для корневой оболочки или sudo -i для корневой учетной записи.