Я настраиваю конфигурацию PAM для sshd, и на данный момент /etc/pam.d/sshd стоит так:
# Пользовательская конфигурация PAM для sshd
# Запретить вход, если /etc/nologin существует, унаследовано от старой конфигурации sshd
требуется учетная запись pam_nologin.so
# Правило SELinux. Унаследовано от старого sshd
сессия [успех=хорошо игнорировать=игнорировать module_unknown=игнорировать по умолчанию=плохо] pam_selinux.so закрыть
# Проверьте имя пользователя и пароль с помощью специального двоичного файла
auth [успех=ок по умолчанию=плохо] pam_exec.so expose_authtok /usr/bin/ssh-hash-checker
# Установить атрибут процесса loginuid. Унаследовано от старого sshd
требуется сеанс pam_loginuid.so
# Создать новый сеансовый брелок. Унаследовано от старого sshd
необязательный сеанс pam_keyinit.so принудительно отозвать
# Стандартная установка и демонтаж сеанса Un*x. Унаследовано от старого sshd
@include общий сеанс
# МОТД. Унаследовано от старого sshd
сеанс необязательный pam_motd.so motd=/run/motd.dynamic
сеанс необязательный pam_motd.so noupdate
# Почта. Унаследовано от старого sshd
сессия необязательная pam_mail.so стандартная noenv
# Настройте лимиты пользователей из /etc/security/limits.conf. Унаследовано от старого sshd
требуется сеанс pam_limits.so
# Оболочка PAM Унаследовано от старого sshd
требуется сеанс pam_env.so # [1]
# В Debian 4.0 (etch) переменные среды, связанные с локалью, были перемещены в
# /etc/default/locale, прочтите и это. Унаследовано от старого sshd
требуется сеанс pam_env.so user_readenv=1 envfile=/etc/default/locale
# Еще одно правило SELinux, унаследованное от старого sshd
сеанс [успех=ок игнорировать=игнорировать module_unknown=игнорировать по умолчанию=плохой] pam_selinux.so открыть
На данный момент я протестировал пользовательский двоичный файл, который проверяет пользователя и пароль, и, похоже, он работает нормально, так как пароль отклоняется без каких-либо дальнейших проблем, когда данный логин неверен, как я могу судить по статус systemctl отчет.
Однако при действительной попытке входа в систему я получаю следующий вход статус systemctl:
фатальный: доступ запрещен для пользователя <отредактировано> конфигурацией учетной записи PAM [preauth]
Погуглив проблему, я обнаружил, что это часто вызвано неправильно настроенным access.conf, так что это текущее содержимое /etc/security/access.conf:
# Много строк комментариев вверху...
# Разрешить root входить откуда угодно
+: корень: ВСЕ
# Разрешить <отредактировано> входить в SSH через PAM
+:<отредактировано>:ВСЕ
# Запретить доступ всем остальным из любого места
-:ВСЕ:ВСЕ
В последнее время я не менял пароли пользователей и никогда не менял их вручную. /и т.д./тень ни /etc/passwd.
Любая идея, что это может быть, или какие-либо дальнейшие шаги по отладке, которые я мог бы предпринять?
