Вопрос или проблема
У меня необычная проблема. Я создал пользователя и, как мне казалось, установил его пароль.
Для дополнительного контекста: это в рабочей среде, и мы используем RHEL 8.10.
[root@computer ~] useradd user -G wheel
[root@computer ~] passwd user
New password:
BAD PASSWORD: blah blah
Retype new password:
passwd: all authentication tokens updated successfully
Все пользователи группы wheel имеют возможность подключаться к этому серверу по SSH. Когда я попытался подключиться к серверу по SSH, используя новые учетные данные, я получил ошибку “bad password”. Ладно, я попытался войти в систему непосредственно через tty, снова плохой пароль. Я входил обратно как root и попытался сбросить пароль, на этот раз проверив, что ввожу правильный пароль.
Снова мне отказано во входе из-за неправильного пароля. Затем я попытался войти с моим личным пользователем и получил отказ из-за неправильного пароля. Это очень необычно, так как я могу подключиться к серверу по SSH, используя свой личный пользовательский аккаунт с теми же учетными данными, которые были отклонены.
Я не могу понять, является ли это простой пользовательской ошибкой или существуют ли параметры конфигурации Linux (специфичные для RHEL 8), которые не позволяют записывать новые пароли. Я подумал, что, возможно, / смонтирован как только для чтения, но я могу создавать новые файлы в /etc. Кроме того, mount -l | grep "ro" не указывает корневой раздел как только для чтения.
Любые идеи для проверки будут очень признательны.
ИЗМЕНЕНИЕ: Я также только что осознал, если бы это была проблема только для чтения, новый пользователь, которого я создал, не мог бы быть зарегистрирован. Я проверил, что пользователь был создан и добавлен в правильную группу с помощью cat /etc/passwd и cat /etc/group.
.
Ответ или решение
Для решения проблемы, представленной в вопросе, необходимо учитывать различные аспекты и потенциальные причины неисправности настройки пользователей в RHEL 8.10. Судя по предоставленной информации, проблема может быть связана с несколькими факторами, включая конфигурацию системы безопасности, работу с паролями или потенциальные сбои в работе аутентификационной подсистемы.
Теория
Для начала, стоит вспомнить, как в RHEL происходит управление паролями и аутентификация. В данной системе используются библиотеки PAM (Pluggable Authentication Modules), и различные конфигурации могут влиять на способность системы правильно обрабатывать обновления паролей и выполнять аутентификацию пользователей. Проблема может возникать из-за неверных настроек PAM, ограничений SELinux, неправильно установленных или устаревших пакетов системного ПО, а также из-за ошибок синхронизации с системами управления учетными записями, если такие имеются.
Пример
-
Проверка PAM-конфигурации: возможно, что стандартные модули PAM неправильно настроены или отсутствуют необходимые модули, влияющие на состояние аутентификации. Модули PAM определяют, каким образом происходит аутентификация пользователей, и конфигурационные ошибки могут стать причиной проблем. Для выполнения проверки можно использовать
authconfigиpam-configдля восстановления настроек по умолчанию, если были произведены непреднамеренные изменения. -
SELinux: если SELinux включен и неправильно настроен, он может блокировать изменения паролей или доступ пользователей. Команда
sestatusпозволит определить текущий статус SELinux. Если он работает в жестком режиме ("enforcing"), стоит переключить его в разрешающий режим (setenforce 0) и проверить, решит ли это проблему. -
Аудит системных журналов: необходима проверка системных логов, таких как
/var/log/secureи/var/log/auth.log, что может предоставить ценную информацию о причинах отказа в доступе. Ищите специфические записи отказов в аутентификации или ошибок изменений пароля.
Применение
-
Проверка и правка файлов конфигурации PAM:
- Просмотрите файлы в каталоге
/etc/pam.d/. Особенно важны файлыsystem-authиpassword-auth, которые могут быть неправильно настроены. - Используйте стандартные конфигурации в качестве шаблонов, чтобы исправить ошибки. Команда
authconfig --updateможет вернуть настройки PAM к дефолтным. - Убедитесь, что каталоги и файлы PAM имеют правильные права доступа.
- Просмотрите файлы в каталоге
-
SELinux и его конфигурация:
- Временно измените режим SELinux на "permissive" и попытайтесь вновь установить пароль.
- Проверьте, генерирует ли SELinux какие-либо предупреждения, и, если необходимо, создайте соответствующие политики или устраните конфликты.
-
Использование утилиты
passwdс дополнительными параметрами:- Используйте
passwd --stdin userдля изменения пароля и просмотра более детальных ошибок. - Убедитесь, что не включены политики, блокирующие использование пароля, если он попадает под определенные критерии (например, недостаточно сложный пароль).
- Используйте
-
Анализ и логирование:
- Логи могут быть особенно полезны. Выполните
tail -f /var/log/secureи одновременно попробуйте сменить пароль, чтобы отслеживать изменения в реальном времени.
- Логи могут быть особенно полезны. Выполните
-
Проверка других системных ограничений:
- Возможно наличие ограничений по повторному использованию предыдущих паролей или минимальное время для изменения между паролями. Проверьте файл
/etc/security/opasswd. - Убедитесь в правильности настроек
/etc/login.defs, которые могут содержать ограничения на уровни паролей, такие как длина или сложность.
- Возможно наличие ограничений по повторному использованию предыдущих паролей или минимальное время для изменения между паролями. Проверьте файл
Предложенные шаги могут помочь в определении и устранении проблемы с аутентификацией и изменением паролей в вашей системе RHEL 8.10. В случае, если вышеуказанные методы не приводят к решению, стоит рассмотреть обращение за поддержкой к администраторам или разработчикам RHEL для дальнейшего анализа и устранения неполадок.