在RHEL6上将故障锁标记为错误密码

Question

我一直有一个神秘的问题，无法登录到我的根帐户通过SSH或控制台。这是一台真正的物理机器，而不是VM。幸运的是，我还有一个sudo用户可以尝试。

RHEL6

来自另一个用户的

• $ su root工作正常，因此密码是正确的，
• 通过Putty 登录不工作。直接通过键盘返回Access denied
• Login，也不工作。返回Incorrect login

我的pan.d设置设置为锁定帐户，我可以看到锁定的帐户

• $ sudo failock --root.

如果输入错误的密码3次，我的根目录将因pam设置而被阻塞，此时，$ su root也将停止工作。因此，我重新设置了我被封锁的帐户：

• $ sudo faillock --user root reset

在查看$ sudo failock --root时，我可以看到正在记录的被拒绝的访问。尝试通过SSH或键盘直接与连接正确密码同时也生成日志条目

-我的根帐户被锁在某个地方，我不知道如何解锁它，

其他一些设置：

    $ sudo chage -l root 
    Last password change                                    : Feb 14, 2020
    Password expires                                        : never
    Password inactive                                       : never
    Account expires                                         : never
    Minimum number of days between password change          : 0
    Maximum number of days between password change          : 99999
    Number of days of warning before password expires       : 7

    # /etc/passwd
    root:x:0:0:root:/root:/bin/bash

    # /etc/shadow
    root:$6$SALTSALT$HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_HASH_H:18306:0:99999:7:::

    # /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent even_deny_root deny=3 unlock_time=604800 fail_interval=900
auth        sufficient    pam_unix.so  try_first_pass
auth        [default=die] pam_faillock.so authfail even_deny_root deny=3 unlock_time=604800 fail_interval=900
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_faillock.so
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow try_first_pass use_authtok remember=5
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

    # /etc/pam.d/password-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent even_deny_root deny=3 unlock_time=604800 fail_interval=900
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die] pam_faillock.so authfail even_deny_root deny=3 unlock_time=604800 fail_interval=900
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_faillock.so
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

Answer 1

这是由两个不同的问题造成的：

1

文件/etc/securetty文件是空的，所以我给它添加了：tty1。

unitstackexchange answer

2

文件/etc/ssh/sshd_config没有注释PermitRootLogin，所以我对它进行了注释，并重新启动了sshd服务。

我仍然有一个问题，因为有一个服务正在创建一个空的/etc/securetty文件，如果它不存在的话，但是我最终会试图找到它。