實驗室CentOS服務器不知道被誰更新系統到6.5後,發現在本機上即使輸入正確的密碼也無法登陸,通過在google搜索,發現有一些人也碰見過同樣的問題,但是他們是因為系統變為64位後,無法找到pam_limits.so的正確路徑,但是我的主機不是這種問題,更新的後依然是i686架構,繼續搜索,一步步查找問題,首先修改grub進入單用戶模式下,打開sshd服務,從遠程主機登陸,發現可以登陸,但就是本地不行,於是乎繼續鎖定問題到/etc/pam.d/login文件,cat /etc/pam.d/login文件,發現內容如下:
#%PAM-1.0
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
auth include system-auth
account required pam_nologin.so
account include system-auth
password include system-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
session optional pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include system-auth
-session optional pam_ck_connector.so
並沒有想象中的pam_limits.so文件,修改成如下:
#%PAM-1.0
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
auth include system-auth
account required pam_nologin.so
account include system-auth
password include system-auth
# pam_selinux.so close should be the first session rule
session required pam_limits.so
session optional pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_limits.so
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include system-auth
-session optional pam_ck_connector.so
重啟系統,進入多用戶模式下,輸入密碼,發現可以登陸!!
思考:
1.為什麼修改後就可以呢?
pam_limits.so模塊的主要功能是限制用戶會話過程中對各種系統資源的使用情況,缺省情況下該模塊的配置文件是/etc/security/limits.conf。既然sshd可以登陸,那麼就使用它的pam模塊來進行認證就OK。
2.pam_selinux.so
SELinux相關的模塊.為登陸用戶提供安全的上下文。
進入另外一個centos6.3版本中發現和無法登陸的login文件是相同的,可能是在centos6.5中對/etc/pam.d/login做了一些相應的調整,而配置文件沒有變所以就無法登陸(只是猜測)
更多CentOS相關信息見CentOS 專題頁面 http://www.linuxidc.com/topicnews.aspx?tid=14
