,注意：,本文相關配置及說明已在, CentOS 6.5 64 ,位操作係統中進行過測試。其它類型及版本操作係統配置可能有所差異，具體情況請參閱相應操作係統官方文檔。

 

,問題描述

---

,登錄雲服務器, ,ECS ,（,Elastic Compute Server,）, ,Linux ,服務器時，即便輸入了正確的密碼，也無法正常登錄。該問題出現時，,管理終端 ,或, ,SSH ,客戶端其中一種方式可以正常登錄，或者兩種方式均無法正常登錄。同時，,secure ,日誌中出現類似如下錯誤信息：

• ,sshd[1199]: pam_listfile(sshd:auth): Refused user root for service sshd
• ,,sshd[1199]: Failed password for root from 192.168.0.1 port 22 ssh2
• ,,,sshd[1204]: Connection closed by 192.168.0.2

,問題原因

---

,,,PAM ,模塊, ,pam_listfile.so ,相關訪問控製策略導致用戶登錄失敗。

,處理辦法

---

,pam_listfile.so ,模塊可用於, Linux ,訪問控製。要解決此問題，請進行如下配置檢查：

1. 通過 SSH 客戶端或 管理終端 登錄服務器。
2. 通過 cat 等指令查看異常登錄模式，對應的 PAM 配置文件。說明如下：

   文件	功能說明
   /etc/pam.d/login	控製台（管理終端）對應配置文件
   /etc/pam.d/sshd	登錄對應配置文件
   /etc/pam.d/system-auth	係統全局配置文件

   注：每個啟用了 PAM 的應用程序，在 /etc/pam.d 目錄中都有對應的同名配置文件。例如，login 命令的配置文件是 /etc/pam.d/login，可以在相應配置文件中配置具體的策略。
    

3. ,檢查前述配置文件中，是否有類似如下配置信息：

   auth required pam_listfile.so item=user sense=allow file=/etc/ssh/whitelist onerr=fail

   相關參數簡要說明:

   • ,item：,設置訪問控製的對象類型，可選值包括 ,tty|user|rhost|ruser|group|shell,。

   • ,sense：定義了當在配置文件中找到符合條件的項目時的控製方式。可選值：,allow|deny。,即 ,allow ,代表白名單方式，而 ,deny   ,代表黑名單方式。

   • ,file：,用於指定配置文件的全路徑名稱,。

   • ,onerr：,定義了出現錯誤（比如無法打開配置文件）時的缺省返回值,。
      

4. 相關策略可以提高服務器的安全性。請用戶基於安全性和易用性權衡後，再確定是否需要修改相關配置。

5. 如果需要修改相關策略配置，在繼續之前建議進行文件備份。

6. ,使用, vi ,等編輯器，按需修改相關參數值，確認對應的訪問控製文件中，已經對相應用戶做了訪問放行。或者整個刪除或注釋（在最開頭添加, # ,號）整行配置，比如：

   #auth required pam_listfile.so item=user sense=allow file=/etc/ssh/whitelist onerr=fail

7. ,嚐試重新登錄服務器。

如果還有問題，可以參閱,雲服務器 ECS Linux SSH 無法登錄問題排查指引做進一步排查分析。

更多信息

---

• PAM （Pluggable Authentication Modules ） 是由 Sun 提出的一種認證機製。它通過提供一些動態鏈接庫和一套統一的 API，將係統提供的服務和該服務的認證方式分開。使得係統管理員可以靈活地根據需求，給不同的服務配置不同的認證方式，而無需更改服務程序，同時也便於向係統中添加新的認證手段。
• ,每個啟用了, ,PAM ,的應用程序，在, /etc/pam.d ,目錄中都有對應的同名配置文件。例如，,login ,命令的配置文件是, /etc/pam.d/login,，可以在相應配置文件中配置具體的策略。
• ,更多關於 ,pam_listfile ,的信息，可以參閱 ,linux-pam.org ,官方文檔： ,pam_listfile - deny or allow services based on an arbitrary file
  注意：截至 2016 年 5 月 14 日，上述鏈接正確無誤。如果您發現該鏈接已失效，請提供反饋，阿裏雲員工會複查並更新該鏈接。