сервис pam (sshd) игнорирование макс. повторений
Иногда, когда Вы присоединяетесь к домену и изменяете имя компьютера одновременно, имя компьютера не изменится. Мы обычно меняем имя ПК, затем перезагружают ПК, затем присоединяются к домену, это обычно гарантирует, что Ваш ПК имеет правильное имя на домене
PAM сообщает вам, что он настроен с "retry = 3", и он будет игнорировать любые дальнейшие запросы аутентификации от sshd в том же сеансе. SSH , однако, будет продолжать попытки до тех пор, пока не будет исчерпан параметр MaxAuthTries (который по умолчанию равен 6).
Вероятно, вам следует установить оба параметра (SSH и PAM) на одно и то же значение для максимального числа попыток аутентификации.
Обновлено
Чтобы изменить это поведение:
Для sshd вы редактируете / etc / ssh / sshd_config и устанавливаете MaxAuthTries 3 . Также перезапустите SSH-сервер, чтобы настройки вступили в силу.
Для PAM вам нужно искать конфигурацию в каталоге /etc/pam.d (я думаю, что это файл common-password в Ubuntu), вам необходимо изменить значение retry = .
Примечание.
Хотя другие ответы верны в устранении полученного сообщения об ошибке, учтите, что это сообщение об ошибке может быть симптомом другой основной проблемы.
Вы получаете эти сообщения, потому что в вашей системе много неудачных попыток входа через ssh. Может быть кто-то пытается взломать ваш ящик (так было, когда я получал те же сообщения в своей системе). Прочтите ваш var/log/auth.log для исследования...
Если это так, то вам следует подумать об установке такого инструмента, как 'fail2ban' (sudo apt-get install fail2ban на Ubuntu). Она автоматически считывает лог-файлы вашей системы, ищет несколько неудачных попыток входа и блокирует вредоносных клиентов на настраиваемое время с помощью iptables...
Представляется, что приведенный выше анализ не совсем корректен. Не похоже, что есть опция retry= для pam-аутентификации (я нашел ее для pam_cracklib, но это касается только смены пароля в секции "password", а не аутентификации в секции "auth" в pam). Вместо этого pam_unix содержит встроенное максимальное количество повторных попыток - 3. После 3 повторных попыток pam возвращает код ошибки PAM_MAXRETRIES, чтобы сообщить об этом sshd.
sshd действительно должен перестать пытаться в этом случае, независимо от его собственных MaxAuthTries. Это не так, что, по-моему, является ошибкой (о которой я только что сообщил с помощью openssh).
Пока эта ошибка не исправлена, кажется, что установка MaxAuthTries в <= 3 - единственный способ предотвратить появление этого сообщения.
.После обновления с Debian 6 до Debian 7 я столкнулся с теми же проблемами. Внезапно в моей консоли возникли эти ошибки sshd.
2014 Oct 15 13:50:12 vps456 PAM service(sshd) ignoring max retries; 6 > 3
2014 Oct 15 13:50:17 vps456 PAM service(sshd) ignoring max retries; 6 > 3
2014 Oct 15 13:50:18 vps456 PAM service(sshd) ignoring max retries; 6 > 3
В моем случае проблема заключалась в том, что rsyslog больше не устанавливался после обновления Debian.
После установки rsyslog эти ошибки исчезли с моей консоли: apt-get install rsyslog
Конечно, получение этих уведомлений на вашей консоли может раздражать, но когда я вижу в своих файлах журнала, что вчера у меня было 987 неудачных попыток входа в систему root с IP-адреса в Китае,или 2670 из какого-нибудь облачного сервиса в Калифорнии, или ... многих других, я не волнуюсь. Пользователь root вообще не имеет права входить в систему на моей машине. Независимо от того, сколько попыток.
Если бы они начали пробовать имена пользователей, которые могут войти в систему, это было бы другое дело, но если у кого-то есть хорошие пароли, я тоже не вижу в этом риска. Пароли для входа (в отличие от ключей шифрования) можно попробовать только так быстро.
Использование чего-то вроде fail2ban кажется ненужной сложностью, которая ничего не дает (если у вас хорошие пароли), а сложность плохо сказывается на безопасности. Попытки дросселирования - это то, что должен реализовать sshd, а не то, что требует дополнительных надстроек ... а sshd выполняет попытки дросселирования. Хорошо.
-kb, Кент, который использует только надежные пароли и никогда не повторно используется между разными сайтами.
Клиент ssh может попытаться аутентифицироваться с одним или несколькими ключами . Любые ключи, не перечисленные в authorized_keys, завершатся ошибкой, потребляя одну из повторных попыток sshd. Клиент будет пробовать каждый имеющийся у него ключ ssh до тех пор, пока один из них не сработает или все не сработают, поэтому хорошо, что sshd позволяет вам попробовать несколько.
Если ключи не совпадают, sshd может позволить вам попробовать пароль. Каждая из этих попыток также потребляет одну из разрешенных повторных попыток sshd. Но он также потребляет одну из разрешенных повторных попыток PAM.
Таким образом, комбинация из 6 попыток аутентификации ssh и 3 попыток аутентификации pam - это хорошо: это означает, что ssh разрешит всего 6 попыток аутентификации (ключ или пароль), но только 3 попытки пароля.
Как говорили другие , если вы часто видите это в своих журналах, кто-то пытается проникнуть в вашу систему с помощью грубой силы. Рассмотрите возможность использования fail2ban для полной блокировки пакетов с IP-адресов, с которых исходят эти попытки.