PAM : 유효한 비밀번호로 인증 실패

10

명령

pamtester -v auth pknopf authenticate
pamtester: invoking pam_start(auth, pknopf, ...)
pamtester: performing operation - authenticate
Password:
pamtester: Authentication failure

journctl

Feb 06 13:22:17 PAULS-ARCH unix_chkpwd[31998]: check pass; user unknown
Feb 06 13:22:17 PAULS-ARCH unix_chkpwd[31998]: password check failed for user (pknopf)
Feb 06 13:22:17 PAULS-ARCH pamtester[31997]: pam_unix(auth:auth): authentication failure; logname= uid=1000 euid=1000 tty= ruser= rhost=  user=pknopf

지금은 모든 잠금 화면에서 "잠금 해제"(KDE 잠금 화면 i3lock등)를 방지 할 수 있습니다.

내가 시작하는 경우 i3locksudo, 그때 제대로 입력 할 수 루트 화면 잠금을 해제하기 위해 암호를 입력합니다. 그러나 일반 사용자로 실행하면 일반 사용자 또는 루트 암호를 사용하여 잠금을 해제 할 수 없습니다.

에 대한 PAM 구성은 다음과 같습니다 i3lock.

#
# PAM configuration file for the i3lock screen locker. By default, it includes
# the 'system-auth' configuration file (see /etc/pam.d/login)
#
auth include system-auth

러닝 ls -l /etc/passwd /etc/shadow /etc/group

-rw-r--r-- 1 root root 803 Feb 6 14:16 /etc/group
-rw-r--r-- 1 root root 1005 Feb 6 14:16 /etc/passwd
-rw------- 1 root root 713 Feb 6 14:16 /etc/shadow

이것은 아치를 새로 설치 한 것이므로 구성이 너무 이상하다고 생각하지 않습니다. 이것을 디버깅하기 위해 무엇을 찾아야합니까?

러닝 ls -l /sbin/unix_chkpwd

-rwxr-xr-x 1 root root 31392 Jun  9  2016 /sbin/unix_chkpwd
pam 
폴 크노프
소스
당신은 사용자 계정을했습니다 pknopf당신의 /etc/passwd등, 그리고 로그인 할 수 있습니다?
roaima
내 계정은 / etc / passwd에 있습니다.
Paul Knopf
루트 사용자는 "pamtester auth pknopf 인증"을 할 수 있지만 pknopf 사용자는 실행할 수 없습니다.
Paul Knopf
ls -l /sbin/unix_chkpwd질문 에 추가 한 결과입니다 .
roaima
출력을 포함하도록 질문을 업데이트했습니다.
Paul Knopf

답변:

11

시스템 설치가 손상된 것 같습니다. 어떤 이유로 파일에서 /sbin/unix_chkpwd내가 기대할 수있는 권한 비트가 손실되었습니다.

루트로 다음 명령을 실행하여 권한을 수정하십시오.

chmod u+s /sbin/unix_chkpwd

권한이 다음과 같은지 확인하십시오 ( s사용자 권한 의 비트 참조 ).

-rwsr-xr-x 1 root root 31392 Jun  9  2016 /sbin/unix_chkpwd

내 Raspbian 배포에서 권한이 약간 다르게 (더 제한적으로) 설정되었습니다. 위에서 설명한 변경 사항이 작동하지 않으면 이 두 파일에 대한 권한을 신중하게 변경하고 이것이 도움이되는지 확인하십시오 (두 경우 모두 동일하면 그룹 이름이 중요하지 않음).

-rw-r----- 1 root shadow  1354 Dec  6 13:02 /etc/shadow
-rwxr-sr-x 1 root shadow 30424 Mar 27  2017 /sbin/unix_chkpwd
로 이마
소스
1
이것은 내 문제입니다. Docker가 해당 권한 비트를 제거한 결과입니다. github.com/moby/moby/issues/36239
Paul Knopf
5

데비안 머신에서는 exim4 사용자를 shadow그룹 에 추가해야했습니다 .

usermod -a -G shadow Debian-exim

PAM : 데비안 시스템에서 PAM 모듈은 호출 프로그램과 동일한 사용자로 실행되므로 사용자가 할 수없는 일을 할 수 없으며, 특히 사용자가 그룹 섀도에 있지 않으면 / etc / shadow에 액세스 할 수 없습니다. -Exim의 SMTP AUTH에 / etc / shadow를 사용하려면 exim을 그룹 섀도우로 실행해야합니다. exim4-daemon-heavy 만 libpam과 연결됩니다. 대신 saslauthd를 사용하는 것이 좋습니다.

http://lira.no-ip.org:8080/doc/exim4-base/README.Debian.html

다니엘 소콜로프 스키
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.