Bug 39726

Summary:

В логах строчка 'Authentication passed for test' при заблокированном аккаунте

Product:

Sisyphus

Reporter:

Vera Blagoveschenskaya <vercha>

Component:

pam

Assignee:

placeholder <placeholder>

Status:

NEW ---

QA Contact:

qa-sisyphus

Severity:

normal

Priority:

CC:

glebfm, ldv, placeholder, rider

Version:

unstable

Hardware:

x86_64

OS:

Linux

Attachments:

Description	Flags
journalctl.txt	none

Description Vera Blagoveschenskaya 2021-02-24 18:57:00 MSK

Created attachment 9215 [details]
journalctl.txt

Стенды в тестировании:
alt workstation 9.1 x86_64 / alt kworkstation 9.1 x86_64

1) В /etc/pam.d/system-auth добавить строки
auth            required        pam_faillock.so preauth silent deny=3 even_deny_root fail_interval=900 unlock_time=30
auth            required        pam_faillock.so authfail deny=3 even_deny_root fail_interval=900 unlock_time=30
account         required        pam_faillock.so

2) Выполнить 3 попытки входа с неправильным паролем.
3) Выполнить попытку входа с правильным паролем.

Результат: аккаунт заблокирован на 30 секуунд (это ОК).
НО в логах пишется 
pam_tcb(login:auth): Authentication passed for test from (uid=0)

Корректно ли это? Как минимум, вводит в заблуждение.

Comment 1 Dmitry V. Levin 2021-02-25 14:05:03 MSK

(In reply to Vera Blagoveschenskaya from comment #0)
> pam_tcb(login:auth): Authentication passed for test from (uid=0)
> 
> Корректно ли это? Как минимум, вводит в заблуждение.

Это сообщение pam_tcb о том, что authentication passed.
Почему оно вводит в заблуждение?

Comment 2 Vera Blagoveschenskaya 2021-02-25 14:32:38 MSK

(Ответ для Dmitry V. Levin на комментарий #1)
> Это сообщение pam_tcb о том, что authentication passed.
> Почему оно вводит в заблуждение?

Потому что аккаунт заблокирован и вход выполнить невозможно. 
Прошу закрыть ошибку как notabug, если данное поведение корректно.

Comment 3 Anton Farygin 2021-02-25 15:08:15 MSK

Вера, а в логах после pam_tcb(login:auth): Authentication passed for test from (uid=0) 
есть запись от pam_faillock ?

Comment 4 Vera Blagoveschenskaya 2021-02-25 15:12:50 MSK

(Ответ для Anton Farygin на комментарий #3)
> Вера, а в логах после pam_tcb(login:auth): Authentication passed for test
> from (uid=0) 
> есть запись от pam_faillock ?

ПОСЛЕ - нет.
ДО - есть.

фев 24 18:35:08 workstation-91-x86-64-20210120.localdomain login[3140]: pam_faillock(login:auth): Consecutive login failures for user test account temporarily locked

То есть, faillock честно сказал о блокировке, но последующие попытки входа логгируются как будто успешные.

В аттачменте кусок лога.

Comment 5 Anton Farygin 2021-02-25 15:17:52 MSK

т.е. - ошибка в том, что по логам невоозможно обнаружить неуспешную попытку входа, заблокированную через faillock.

Comment 6 Dmitry V. Levin 2021-02-25 16:24:17 MSK

Как же тяжело без телепатов.

Сейчас pam_faillock.so authfail записывает в лог, когда создаёт блокировку,
а pam_faillock.so preauth не записывает в лог, когда видит эту блокировку, созданную ранее.

Может быть, вы предлагаете, чтобы pam_faillock.so preauth тоже записывал что-нибудь в лог?

Comment 7 Vera Blagoveschenskaya 2021-02-25 16:26:22 MSK

Спасибо за пояснения. 
Я ничего не предлагаю, а уточняю, корректно ли поведение.

Comment 8 Anton Farygin 2021-02-25 17:25:14 MSK

да, похоже что именно это я и предполагаю.