Bug 39726 - В логах строчка 'Authentication passed for test' при заблокированном аккаунте
Summary: В логах строчка 'Authentication passed for test' при заблокированном аккаунте
Status: NEW
Alias: None
Product: Sisyphus
Classification: Development
Component: pam (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: placeholder@altlinux.org
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2021-02-24 18:57 MSK by Vera Blagoveschenskaya
Modified: 2021-02-25 17:25 MSK (History)
4 users (show)

See Also:

Attachments
journalctl.txt (5.11 KB, text/plain)
2021-02-24 18:57 MSK, Vera Blagoveschenskaya 		no flags Details
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Vera Blagoveschenskaya 2021-02-24 18:57:00 MSK 
Created attachment 9215 [details]
journalctl.txt

Стенды в тестировании:
alt workstation 9.1 x86_64 / alt kworkstation 9.1 x86_64

1) В /etc/pam.d/system-auth добавить строки
auth            required        pam_faillock.so preauth silent deny=3 even_deny_root fail_interval=900 unlock_time=30
auth            required        pam_faillock.so authfail deny=3 even_deny_root fail_interval=900 unlock_time=30
account         required        pam_faillock.so

2) Выполнить 3 попытки входа с неправильным паролем.
3) Выполнить попытку входа с правильным паролем.

Результат: аккаунт заблокирован на 30 секуунд (это ОК).
НО в логах пишется 
pam_tcb(login:auth): Authentication passed for test from (uid=0)

Корректно ли это? Как минимум, вводит в заблуждение.
Comment 1 Dmitry V. Levin 2021-02-25 14:05:03 MSK 
(In reply to Vera Blagoveschenskaya from comment #0)
> pam_tcb(login:auth): Authentication passed for test from (uid=0)
> 
> Корректно ли это? Как минимум, вводит в заблуждение.

Это сообщение pam_tcb о том, что authentication passed.
Почему оно вводит в заблуждение?
Comment 2 Vera Blagoveschenskaya 2021-02-25 14:32:38 MSK 
(Ответ для Dmitry V. Levin на комментарий #1)
> Это сообщение pam_tcb о том, что authentication passed.
> Почему оно вводит в заблуждение?

Потому что аккаунт заблокирован и вход выполнить невозможно. 
Прошу закрыть ошибку как notabug, если данное поведение корректно.
Comment 3 Anton Farygin 2021-02-25 15:08:15 MSK 
Вера, а в логах после pam_tcb(login:auth): Authentication passed for test from (uid=0) 
есть запись от pam_faillock ?
Comment 4 Vera Blagoveschenskaya 2021-02-25 15:12:50 MSK 
(Ответ для Anton Farygin на комментарий #3)
> Вера, а в логах после pam_tcb(login:auth): Authentication passed for test
> from (uid=0) 
> есть запись от pam_faillock ?

ПОСЛЕ - нет.
ДО - есть.

фев 24 18:35:08 workstation-91-x86-64-20210120.localdomain login[3140]: pam_faillock(login:auth): Consecutive login failures for user test account temporarily locked

То есть, faillock честно сказал о блокировке, но последующие попытки входа логгируются как будто успешные.

В аттачменте кусок лога.
Comment 5 Anton Farygin 2021-02-25 15:17:52 MSK 
т.е. - ошибка в том, что по логам невоозможно обнаружить неуспешную попытку входа, заблокированную через faillock.
Comment 6 Dmitry V. Levin 2021-02-25 16:24:17 MSK 
Как же тяжело без телепатов.

Сейчас pam_faillock.so authfail записывает в лог, когда создаёт блокировку,
а pam_faillock.so preauth не записывает в лог, когда видит эту блокировку, созданную ранее.

Может быть, вы предлагаете, чтобы pam_faillock.so preauth тоже записывал что-нибудь в лог?
Comment 7 Vera Blagoveschenskaya 2021-02-25 16:26:22 MSK 
Спасибо за пояснения. 
Я ничего не предлагаю, а уточняю, корректно ли поведение.
Comment 8 Anton Farygin 2021-02-25 17:25:14 MSK 
да, похоже что именно это я и предполагаю.