我按照https://ubuntu.com/tutorials/configure-ssh-2fa在我的 Ubuntu 22.04.5 系统上设置了 SSH 的 2FA 保护。我只启用了基于密钥的身份验证，因此这可能有点过度，但感觉更安全，即使我的私钥以某种方式丢失了，它本身也不够。

我不想在从 LAN 上的系统连接时输入 TOTP 代码，因此我的/etc/pam.d/sshd代码如下：

auth [success=done default=ignore] pam_access.so accessfile=/etc/security/access-local.conf
auth required pam_google_authenticator.so

/etc/security/access-local.conf有：

+ : ALL : 192.168.1.0/24
+ : ALL : LOCAL
- : ALL : ALL

一切正常。当我在局域网之外时，系统会提示我输入 TOTP 代码，而在局域网内时则不会。

我现在的问题是 tab 补全功能scp不再起作用。例如，在另一个系统上，我尝试：

$ scp server:someth<TAB>

并且something应该自动完成，假设该文件存在。当我没有启用 PAM 模块时，这可以正常工作，但启用后则不起作用。即使在我使用 LAN 并且没有提示输入 TOTP 代码的情况下，它也会失败。当我按 TAB 时，我会在服务器中收到如下消息/var/log/auth.log：

Oct 26 17:08:13 server sshd[1136620]: Connection closed by authenticating user user 192.168.1.182 port 53145 [preauth]
Oct 26 17:08:13 server sshd[1136732]: Connection closed by authenticating user user 192.168.1.182 port 53146 [preauth]

每按一次 TAB 键，消息总是成对出现。

有人知道我可以做什么（如果有的话）来实现这个目标吗？

我在 Ubuntu Jammy 服务器中安装了一个供应商应用程序，该应用程序依赖于配置为 LDAP 集成的 SSSD v2.6.3，以在服务器中验证和创建用户的主目录。

在 sssd.conf 配置中存在：

[sssd]
config_file_version=2
reconnection_retries=3
services=nss,pam
domains=mydomain.com

[nss]
...

[pam]
...

[domain/mydomain.com]
... ldap configuration ...
override_homedir=/sfs/home/%u

当用户通过身份验证时，创建的主目录具有以下权限集：

$ ls -lhtar /sfs/home
drwxr-xr-x 3 myuser mygroup 4.0K Jan  3 19:23 myuser

不幸的是，这些权限drwxr-xr-x还允许其他人在其主目录中导航。

一开始我以为这是由 PAM 模块控制的，特别是common-session执行pam_mkhomedir.so模块，但事实并非如此！，因为注释此模块没有任何效果，并且主目录始终完全为空，不遵循通常在 mkhomedir 例如中提供的主“骨架” session required pam_mkhomedir.so skel=/etc/skel/。

我还注意到权限drwxr-xr-x对应于 umask 022，这通常是 Linux 发行版中的默认值，因此我修改为 006 /etc/login.defs，并添加了 umask 006/etc/profile以避免使用 022 umask，但是此尝试已也是徒劳的。

有人遇到过这个问题吗？当 SSSD 服务触发主目录创建时，如何强制使用正确的 umask？

提前非常感谢！

我很不耐烦，不幸的是，当我在笔记本电脑（Ubuntu 20.04）上错误地输入了我的登录密码时，我不想等待三秒钟来重试。（0.3 秒的延迟足以防止潜在的暴力破解，并且在 3 次尝试失败之后有更长的时间。）

我找到了很多解释如何更改控制台登录和sudo. 我通过将/etc/pam.d/login（对于tty 控制台）中的值编辑为：

auth       optional     pam_faildelay.so  delay=300000

并将同一行添加到/etc/pam.d/common-auth（用于sudo和图形登录屏幕）作为（！）此行之前的第一行：

auth    [success=1 default=ignore]      pam_unix.so nullok_secure nodelay

看：

• 在stackoverflow上登录Ubuntu时更改登录超时
• 在askubuntu上错误输入登录名和sudo密码后如何降低延迟

这种改变在 Ubuntu 20.04 中的图形 gdm3 登录屏幕上发生的延迟，但仅在登录输入字段重新出现（和抖动）之前。如果您在 中设置较长的延迟/etc/pam.d/common-auth，则仅计算输入字段重新出现之前的时间。对抖动后的延迟没有影响。

我已经激活了登录 gdm，这是grep gdm3 /var/log/syslog我按下SUPER+L锁定屏幕并尝试了大约 6 次错误密码时的输出；您会看到尝试中的 3 秒延迟。在每次错误密码尝试结束时，都会有一个日志：

reauthentication service 'gdm-password' stopped

在此之后开始 3s 延迟，直到我得到一个新的光标。也许这是主要问题？

更新：
有关信息：我使用 GNOME Shell 3.36.1。我的一个想法是禁用摇晃动画可能会有所帮助？因为我发现，您可以使用鼠标单击该字段，并且可以在框晃动时立即键入。

我发现authselect（GitHub 上的项目链接）是一款非常方便的软件。我如何请求为 Ubuntu 打包它？

刚刚安装ubuntu 19.04 minimal了apt install plasma-desktop sddm dolphin konsole kdeconnect --no-install-recommendsand apt install kwin kleopatra kwalletmanager libpam-kwallet5。都好。如此处所述安装了勇敢的浏览器。

目前我需要输入两个密码，一个在登录时，一个用于解锁钱包（几乎在登录后立即）。搜索互联网我发现可以通过一个密码输入一次解锁两个。

尝试安装以下软件包：

kwallet-pam, pam-kwallet5:找不到包 kwallet-pam,pam-kwallet5

pam-kwallet:包 pam-kwallet 不可用，但被另一个包引用。这可能意味着该软件包丢失、已过时或只能从其他来源获得。包“pam-kwallet”没有安装候选

没有解决。有什么帮助吗？pam-kwallet指的是哪个包？

我正在使用带有远程活动目录服务器的 Ubuntu 16.04。要登录我的 Ubuntu 机器，我使用活动目录中的用户名和密码。

我最近不得不运行pam-auth-update，因为不再可能使用我的 AD 凭据登录。然而，在运行这个之后，我的小组似乎混在一起了。

以下信息应该有助于澄清我的问题：

myusername@machine:~$ whoami          
myusername
myusername@machine:~$ id
uid=10004608(myusername) gid=10000513(domänen-benutzer) Gruppen=10000513(domänen-benutzer)
 myusername@machine:~$ id myusername
uid=10004608(myusername) gid=10000513(domänen-benutzer) Gruppen=10000513(domänen-benutzer),999(docker),132(wireshark),10004608(myusername),[... a lot more AD groups]
myusername@machine:~$ su - myusername
Password: 
myusername@machine:~$ id
uid=10004608(myusername) gid=10000513(domänen-benutzer) Gruppen=10000513(domänen-benutzer),132(wireshark),999(docker),10004608(myusername),[... a lot more AD groups]
myusername@machine:~$ whoami
myusername
myusername@machine:~$ 

Runningsu - myusername给了我所有常用的组，比如 docker，但我的登录 shell 只给了我常用组的一个子集。

我想我必须更改 /etc/pam.d 中的一些配置文件，但我不知道要查找什么。

我已经开始阅读 pam 上的文档，它说可用的模块应该存储在它们提供的示例中，/lib/security或者/lib/security64它们提供的示例适用。我的问题是这些目录都不包含安全子目录。但是我确实找到了配置文件/etc/security/pam.conf和目录/etc/security/pam.d。还有其他地方可以查找模块吗？也许我不需要关心他们，我真的不知道，因为我还没有深入了解文档，但我希望能够修改我的身份验证，如果这样只是为了好玩。我正在运行 kubuntu 18.04.1。

前言

我需要购买 8 个外部指纹读取器，但我不确定它们是否可以在最新版本的 Ubuntu 上工作，我不想盲目花钱。

我想购买的读卡器是 Sienoc 的Security USB Biometric Fingerprint Reader Lock和 Powstro 的USB 指纹读取器，两者（一如既往）都宣布仅与 Windows 兼容，因为卖方未在 Linux 上进行测试。

我所需要的只是找到一款与PAM登录兼容的廉价阅读器，因此欢迎推荐经过测试的硬件。

问题

1. 有没有人在 Debian 或 Ubuntu 上测试过这些指纹读取器之一？
2. 最新的 GNU/Linux 内核应该具备什么级别的功能？
3. 是否需要专有驱动程序？

我们有操作系统 ubuntu 18.04。有 2 个用户：user1、user2。user1 是管理帐户，并且是 sudo 组的成员： uid=1010(user1) gid=1010(user1) groups=1010(user1),27(sudo),110(lxd)。user2 是普通用户uid=1000(user2) gid=1000(user2) groups=1000(user2)。现在，在 /etc/sudoers 文件中，我有一个 sudo 组的默认记录：

# Allow members of group sudo to execute any command 
%sudo   ALL=(ALL:ALL) ALL

以及允许使用 user2 的管理（root）权限执行的特殊命令：

Cmnd_Alias CMD_RELOAD_PHP_FPM = /bin/systemctl reload php7.0-fpm, /bin/systemctl reload php7.2-fpm
user2 ALL=(root:root) NOPASSWD: CMD_RELOAD_PHP_FPM

在这一步一切都很好 user2 可以在不输入密码的情况下执行 Cmnd_Alias 中指定的所有内容，因此可以按预期工作。

但是，当 user2 尝试执行他不允许执行的操作时，他会提示输入、注意、user1密码。不是root，不是他自己的user2，而是user1密码，而不是默默地或信息性地否认这种行为：

user2@someserver:~$ /bin/systemctl restart <someservice>
==== AUTHENTICATING FOR org.freedesktop.systemd1.manage-units ===
Authentication is required to restart 'someservice.service'.
Authenticating as: user1
Password:

user1是 sudo 组的唯一成员。

grep 'sudo' /etc/group
sudo:x:27:user1
grep 'sudo' /etc/gshadow
sudo:*::user1

如果user1从sudo组中删除并user2尝试执行相同的命令，则要求他输入root密码。

我怎样才能改变这种行为，所以user2尝试会被拒绝而不是要求他输入密码？

我正在使用 Ubuntu 16.04.5 LTS。我试图读取我的日志文件以查找错误。最有趣的是以下内容：

cat /var/log/auth.log | egrep "unable|faulty"

Nov 25 13:25:13 localhost su[4491]: PAM unable to dlopen(pam_winbind.so): /lib/security/pam_winbind.so: cannot open shared object file: No such file or directory
Nov 25 13:25:13 localhost su[4491]: PAM adding faulty module: pam_winbind.so
Nov 25 13:25:13 localhost systemd: PAM unable to dlopen(pam_winbind.so): /lib/security/pam_winbind.so: cannot open shared object file: No such file or directory
Nov 25 13:25:13 localhost systemd: PAM adding faulty module: pam_winbind.so
Nov 25 13:29:21 localhost smbd: PAM unable to dlopen(pam_winbind.so): /lib/security/pam_winbind.so: cannot open shared object file: No such file or directory
Nov 25 13:29:21 localhost smbd: PAM adding faulty module: pam_winbind.so
Nov 25 13:39:01 localhost CRON[5247]: PAM unable to dlopen(pam_winbind.so): /lib/security/pam_winbind.so: cannot open shared object file: No such file or directory
...
Nov 26 23:53:53 localhost lightdm: PAM adding faulty module: pam_kwallet.so
Nov 26 23:53:53 localhost lightdm: PAM unable to dlopen(pam_kwallet5.so): /lib/security/pam_kwallet5.so: cannot open shared object file: No such file or directory
Nov 26 23:53:53 localhost lightdm: PAM adding faulty module: pam_kwallet5.so
Nov 26 23:53:53 localhost lightdm: PAM unable to dlopen(pam_winbind.so): /lib/security/pam_winbind.so: cannot open shared object file: No such file or directory
...

系统完整性是正确的 -debsums --config --changed不报告/etc/pam.d目录中的任何更改。

未安装库文件：

$ dpkg -S pam_winbind.so
dpkg-query: no path found matching pattern *pam_winbind.so*

$ dpkg -S pam_kwallet.so
dpkg-query: no path found matching pattern *pam_kwallet.so*

$ dpkg -S pam_kwallet5.so
dpkg-query: no path found matching pattern *pam_kwallet5.so*

为什么这些消息存在于/var/log/auth.log？我应该修复它们吗？