pam_open_session: системная ошибка и sudo: плагин политики не смог инициализировать сеанс без завершения прохода в etc/pam.d/password-auth

Я борюсь с ошибкой в ​​REHL 7. У меня есть образ REHL, который доступен только через ключ SSH без учетных данных пользователя / пароля.

Чтобы предотвратить процесс обновления пароля через 90 дней (что невозможно с ключом SSH), я добавил no_pass_expiry в мой файл etc/pam.d/password-auth

но тогда я получаю следующую ошибку, когда я пытаюсь sudo

pam.d]$ sudo su -
sudo: pam_open_session: System error
sudo: policy plugin failed session initialization

это происходит только после 90 дней.

1 ответ

Ваш пароль, вероятно, истек. например... вот sudo с просроченным пользователем:

[user@server ~]$ sudo whoami
sudo: pam_open_session: System error
sudo: policy plugin failed session initialization
[user@server ~]$ 

[user@server ~]$ chage -l user
Last password change                    : May 07, 2018
Password expires                    : Aug 05, 2018
Password inactive                   : never
Account expires                     : never
Minimum number of days between password change      : 1
Maximum number of days between password change      : 90
Number of days of warning before password expires   : 10

Теперь, как показано, после сброса флага срока действия sudo работает как положено:


[root@server]# chage -m 0 -M 99999 -I -1 -E -1 user
[root@server]# chage -l user
Last password change                    : May 07, 2018
Password expires                    : never
Password inactive                   : never
Account expires                     : never
Minimum number of days between password change      : 0
Maximum number of days between password change      : 99999
Number of days of warning before password expires   : 10

[user@server ~]$ sudo whoami
root

Вы можете подтвердить это на /var/log/secure проверяя наличие похожих сообщений, перечисленных ниже:

Feb 27 16:59:14 server sudo: pam_unix(sudo:account): expired password for user user (password aged)
Feb 27 16:59:14 server sudo: user : TTY=pts/0 ; PWD=/home/user ; USER=anotheruser ; COMMAND=/usr/bin/whoami

Убедитесь, что SELinux принудительно использует/etc/shadowимеет правильную метку контекста. Бегrestorecon /etc/shadow исправит это.

Другие вопросы по тегам