如何轻松修改密码？小白也能学会的重置方法

本文介绍了SUSE Linux Enterprise Server 11 SP3系统中普通用户无法修改密码的故障案例。该故障表现为普通用户修改密码失败，系统日志显示pam error 21错误。经过排查`/etc/passwd`、`/etc/shadow`文件权限、`passwd`命令权限以及动态链接库等因素后，最终确定问题根源在于PAM配置文件`/etc/pam.d/common-password`配置混乱。第三方安全加固软件将auth和session相关配置写入common-password文件，导致模块重复加载。还原`/etc/pam.d/common-password`文件初始配置后问题解决。SUSE工程师建议PAM配置文件应遵循单一职责原则，避免配置混乱。

系统日志显示：

<code>Jun 16 11:35:47 ZJHZ-CMREAD-CGTEST17 passwd[16285]: password change failed, pam error 21 - account=bcwap, uid=3954, by=3954
Jun 16 11:36:29 ZJHZ-CMREAD-CGTEST17 su: (to zabbix) zabbix on /dev/pts/2
Jun 16 11:36:37 ZJHZ-CMREAD-CGTEST17 passwd[16712]: User zabbix: Authentication information cannot be recovered
Jun 16 11:36:37 ZJHZ-CMREAD-CGTEST17 passwd[16712]: password change failed, pam error 21 - account=zabbix, uid=6606, by=6606</code>

1. /etc/passwd 和 /etc/shadow 文件权限问题：与其他正常主机对比后排除。
2. passwd 命令权限或文件被修改：同类主机对比后排除。
3. 动态链接库异常：使用 ldd 命令检查，所有链接库文件均正常，且版本一致。root用户可正常修改密码，此可能性较小。
4. 新建用户测试：新建用户也无法修改密码，排除用户配置文件问题。
5. PAM 配置文件问题：日志中 pam error 21 提示，可能性最大。 common-auth、common-password、common-account、common-session、su、sshd 等文件均可能存在问题。第三方安全加固软件可能修改了 common-auth 和 common-password 文件。

联系SUSE原厂技术支持寻求帮助。

1. 检查PAM配置文件，未发现明显问题。注释部分规则后问题依旧。
2. 使用 strace 命令跟踪 passwd 命令执行过程：

   strace -o /tmp/pw.log -ft su - testuser -c "passwd"

   日志分析未发现异常。

3. 再次检查 common-password 文件：将所有规则还原至初始设置后，问题解决。 common-password 文件加固后和初始配置对比如下：

<code>加固后：
auth required pam_unix2.so nullok
account required pam_unix2.so
session required pam_unix2.so
password required pam_pwcheck.so nullok
password required pam_unix2.so nullok use_first_pass use_authtok
password required pam_unix.so remember=5 use_authtok md5 shadow
password required pam_cracklib.so min=disabled,12,8,6,5 max=40 passphrase=3 match=4 similar=deny random=42 enforce=everyone retry=3
初始值：
password required pam_pwcheck.so nullok cracklib
password required pam_unix2.so nullok use_authtok</code>

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~