PAM: การตรวจสอบล้มเหลวด้วยรหัสผ่านที่ถูกต้อง

10

คำสั่ง

pamtester -v auth pknopf authenticate
pamtester: invoking pam_start(auth, pknopf, ...)
pamtester: performing operation - authenticate
Password:
pamtester: Authentication failure

journctl

Feb 06 13:22:17 PAULS-ARCH unix_chkpwd[31998]: check pass; user unknown
Feb 06 13:22:17 PAULS-ARCH unix_chkpwd[31998]: password check failed for user (pknopf)
Feb 06 13:22:17 PAULS-ARCH pamtester[31997]: pam_unix(auth:auth): authentication failure; logname= uid=1000 euid=1000 tty= ruser= rhost=  user=pknopf

ทุกอย่างในหน้าจอล็อคจะป้องกันไม่ให้ฉัน "ปลดล็อก" (ล็อคหน้าจอของ KDE i3lockฯลฯ )

หากฉันเริ่มi3lockเป็นsudoฉันสามารถพิมพ์รหัสผ่านรูทเพื่อปลดล็อกหน้าจอได้อย่างถูกต้อง อย่างไรก็ตามถ้าฉันใช้มันเป็นผู้ใช้ปกติและฉันไม่สามารถใช้ผู้ใช้ปกติหรือรหัสผ่านรูทเพื่อปลดล็อกได้

i3lockนี่คือการตั้งค่าของฉันสำหรับ PAM

#
# PAM configuration file for the i3lock screen locker. By default, it includes
# the 'system-auth' configuration file (see /etc/pam.d/login)
#
auth include system-auth

วิ่งls -l /etc/passwd /etc/shadow /etc/groupโชว์

-rw-r--r-- 1 root root 803 Feb 6 14:16 /etc/group
-rw-r--r-- 1 root root 1005 Feb 6 14:16 /etc/passwd
-rw------- 1 root root 713 Feb 6 14:16 /etc/shadow

นี่คือการติดตั้งใหม่ของ Arch ดังนั้นฉันไม่คิดว่าการกำหนดค่าจะสกปรกเกินไป ฉันควรมองหาวิธีแก้ไขข้อบกพร่องนี้อย่างไร

วิ่งls -l /sbin/unix_chkpwdโชว์

-rwxr-xr-x 1 root root 31392 Jun  9  2016 /sbin/unix_chkpwd
pam 
Paul Knopf
แหล่งที่มา
คุณมีบัญชีผู้ใช้pknopfในของคุณ/etc/passwdและมันสามารถเข้าสู่ระบบ?
roaima
บัญชีของฉันอยู่ใน / etc / passwd
พอล Knopf
ฉันสามารถ "พิสูจน์ตัวตน pamtester auth pknopf รับรองความถูกต้อง" กับผู้ใช้รูท (ทำงานด้วย) แต่ไม่สามารถใช้กับผู้ใช้ pknopf ได้
Paul Knopf
โปรดls -l /sbin/unix_chkpwdเพิ่มผลลัพธ์ของคำถามของคุณ
roaima
อัปเดตคำถามเพื่อรวมเอาท์พุท
Paul Knopf

คำตอบ:

11

ดูเหมือนว่าการติดตั้งระบบของคุณจะเสียหาย ด้วยเหตุผลบางอย่างไฟล์/sbin/unix_chkpwdเสียสิทธิพิเศษที่ฉันคาดว่าจะได้เห็น

แก้ไขการอนุญาตด้วยการรันคำสั่งต่อไปนี้ในฐานะ root:

chmod u+s /sbin/unix_chkpwd

และตรวจสอบสิทธิ์ตอนนี้ดังนี้ (ดูsบิตในสิทธิ์ผู้ใช้):

-rwsr-xr-x 1 root root 31392 Jun  9  2016 /sbin/unix_chkpwd

ในการแจกจ่าย Raspbian ของฉันการอนุญาตถูกตั้งค่าแตกต่างกันเล็กน้อย (และ จำกัด มากขึ้น) หากการเปลี่ยนแปลงที่อธิบายไว้ข้างต้นใช้งานไม่ได้ให้เปลี่ยนการอนุญาตบนไฟล์ทั้งสองอย่างระมัดระวังและดูว่าสิ่งนี้ช่วยได้หรือไม่ (ชื่อกลุ่มไม่สำคัญมากนักตราบใดที่เหมือนกันในทั้งสองกรณี):

-rw-r----- 1 root shadow  1354 Dec  6 13:02 /etc/shadow
-rwxr-sr-x 1 root shadow 30424 Mar 27  2017 /sbin/unix_chkpwd
roaima
แหล่งที่มา
1
นี่เป็นปัญหาของฉัน มันเป็นผลมาจาก Docker ที่ถอดบิตสิทธิพิเศษนั้นออก github.com/moby/moby/issues/36239
Paul Knopf
5

บนเครื่อง Debian ในกรณีของฉันฉันต้องเพิ่มผู้ใช้ exim4 ในshadowกลุ่ม

usermod -a -G shadow Debian-exim

PAM: บนระบบ Debian โมดูล PAM จะทำงานเหมือนกับผู้ใช้เดียวกับโปรแกรมที่เรียกดังนั้นพวกเขาจึงไม่สามารถทำอะไรที่คุณทำเองไม่ได้และโดยเฉพาะอย่างยิ่งไม่สามารถเข้าถึง / etc / shadow ยกเว้นผู้ใช้ที่อยู่ในกลุ่มเงา - หากคุณต้องการใช้ / etc / shadow สำหรับ SMTP AUTH ของ Exim คุณจะต้องเรียกใช้ exim เป็นกลุ่มเงา exim4-daemon-heavy เท่านั้นที่เชื่อมโยงกับ libpam เราแนะนำให้ใช้ saslauthd แทน

http://lira.no-ip.org:8080/doc/exim4-base/README.Debian.html

Daniel Sokolowski
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.