世界短讯！普通用户su - root切换root用户密码错误的故障

首页 > 数码 > 内容页

世界短讯！普通用户su - root切换root用户密码错误的故障

2022-12-31 14:31:29 来源：51CTO博客

(相关资料图)

问题说明

使用普通用户su - root命令切换root用户，多次报密码错误，用ssh直接root用户登录，密码确认又是正确的。

$ su - root密码：su: 密码不正确$ su - root密码：su: 密码不正确

查看系统登录日志

然后查看用户登录的系统日志，看错误是依赖包的问题。

# tail -f /var/log/secureDec 20 03:46:50 iZn7m5cjif1krmysk8523fZ su: PAM unable to dlopen(/lib/security/pam.tally.so): /lib/security/pam.tally.so: 无法打开共享对象文件: 没有那个文件或目录Dec 20 03:46:50 iZn7m5cjif1krmysk8523fZ su: PAM adding faulty module: /lib/security/pam.tally.so

检查系统是否有提示的依赖包

于是检查用户系统里是否存在提示的依赖包发现系统不存在提示错误的pam.tally.so这个依赖包。

# find / -name pam.tally.so

检查系统认证配置文件

　　于是用户登录的认证配置文件，发现有一行/lib/security/pam.tally.so的配置，于是确认问题为该配置所导致。询问系统管理员确认原因为因为要做安全加固，所以做了相关配置。

# cat /etc/pam.d/system-auth#%PAM-1.0# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.auth        required      pam_env.soauth        sufficient    pam_fprintd.soauth        sufficient    pam_unix.so nullok try_first_passauth        requisite     pam_succeed_if.so uid >= 500 quietauth        required      pam_deny.soaccount     required      /lib/security/pam.tally.so deny=3 no_magic root resetaccount     required      pam_unix.soaccount     sufficient    pam_localuser.soaccount     sufficient    pam_succeed_if.so uid < 500 quietaccount     required      pam_permit.sopassword    requisite     pam_cracklib.so try_first_pass retry=3 type=password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtokpassword    required      pam_deny.sosession     optional      pam_keyinit.so revokesession     required      pam_limits.sosession     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uidsession     required      pam_unix.so

问题修复方法

找到问题后，处理就很简单了，在此提供两种解决方法供参考使用，第一种方法就是直接注释导致问题的配置语句，如果系统安全加固需要谨慎使用；第二种方法是直接配置普通用户sudo -s切换免秘钥登录，方法如下。

方法一：

# vi /etc/pam.d/system-auth注释掉该句#account     required      /lib/security/pam.tally.so deny=3 no_magic root reset

方法二：

#username为你的实际用户需注意chmod u+w /etc/sudoerscp /etc/sudoers /etc/sudoers.origecho "username ALL=(ALL) NOPASSWD:ALL" >>/etc/sudoerschmod u-w /etc/sudoers#测试普通用门切换root用户免秘钥登录正常sudo -s

标签：配置文件方法就是用户密码