为什么这个 PAM 代码会阻止所有登录到 Debian 系统？

这个答案有两个部分。第一个添加pam_tally2到auth. 第二个将其添加到account. 您需要这两个部分pam_tally2才能正常工作。

让我们来看看common-auth。

auth    [success=1 default=ignore]  pam_unix.so nullok_secure
auth    required      pam_tally2.so deny=4 unlock_time=1200 even_deny_root
auth    requisite     pam_deny.so
auth    required      pam_permit.so

第一行说：“尝试使用 UNIX ( /etc/passwd) 身份验证。如果成功，则跳过一行并继续。否则继续下一步。”

1. 成功：我们跳过一行（success=1），即pam_tally2，并点击pam_deny拒绝登录
2. 失败：我们点击pam_tally2then pam_deny，拒绝登录

部分解决方案是将pam_tally2列表放入堆栈顶部。（您可能认为更改success=2会起作用，但这会跳过pam_tally2成功的身份验证，因此只能在超时到期后从失败中重置。）这是我的，来自一个相当普通的 Debian 系统：

auth    required                        pam_tally2.so deny=5 unlock_time=1200 even_deny_root
# here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]      pam_unix.so nullok_secure
# here's the fallback if no module succeeds
auth    requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth    optional                        pam_cap.so
# end of pam-auth-update config

这会增加计数，但您需要一种在成功登录后无需使用pam_tally2命令即可重置它的方法。不是特别明显的是，你需要添加pam_tally2.so到该account部分，也作为第一个条目

account required                        pam_tally2.so onerr=fail

我已经对此进行了测试，但是当您尝试它时，请确保您在目标机器上打开了一个额外的 root shell，以便您可以恢复对 PAM 配置的任何更改！

tail -F /var/log/auth.log您可以看到和发生了什么watch pam_tally2 --user {user}。

请注意，一旦尝试进行身份验证，计数就会增加，并且仅在成功时重置，因此计数限制必须比允许的尝试次数大一。