重置一个普通用户密码,操作失败,系统报错:Have exhausted maximum number of retries for service。
这里主要可能是由于该环境进行了安全加固
在/etc/pam.d/system-auth 文件中
auth required pam_tally.so deny=3
上面的配置项说明,3次密码错误会锁定用户。同时我们可能会在/var/log/secure日志中看到下面的错误记录信息:
pam_tally(sshd:auth): user XXXX (60010) tally 4, deny 3
其中“XXXX”是具体的用户名信息。
这里我们可以通过 faillog -r XXXX 命令对该用户进行解锁。
另外,在我们重置用户密码时,有可能会报:Password has been already used. Choose another.
这个错误的原因可能是由于在 /etc/pam.d/system-auth文件中有下面的设置项:
password required pam_pwhistory.so use_authtok remember=5
该设置项的意思是:限定用户不能重复使用以前曾经使用过的5个密码。 把该配置项注释掉,就可以设置之前设置过的密码了。
注:pam_pwhistory.so模块也是一个常用模块,一般辅助pam_cracklib.so,pam_tally.so以及pam_unix.so等模块来加强用户使用密码的安全度。不过pam_pwhistory.so模块起的是另一类的作用,即专门为用户建立一个密码历史档案,防止用户在一定时间内使用已经用过的密码。
另外说明一下:/etc/pam.d/下包含各种认证程序或服务的配置文件。