问题：Linux登录时输入正确密码仍提示Access Denied的常见原因有哪些？

1. 引入：Linux登录中的“Access Denied”问题

在Linux系统中，即使用户输入了正确的密码，仍可能遇到“Access Denied”（访问被拒绝）的提示。这种现象通常不是简单的密码错误造成的，而是涉及账户状态、认证机制、安全策略等多个层面的问题。

2. 常见原因分析

以下是导致“Access Denied”的常见技术原因：

• 账户被锁定或禁用：使用 passwd -l 或者通过修改 /etc/shadow 文件将账户锁定。
• 密码过期：若密码已过期且未及时修改，系统会强制用户更改密码后才能登录。
• SSH配置限制：sshd_config 中的 AllowUsers、DenyUsers 等参数可能阻止特定用户登录。
• PAM模块认证失败：PAM 配置错误可能导致认证流程中断。
• 键盘布局问题：远程终端与本地键盘映射不一致，造成实际输入字符不符预期。
• SELinux/AppArmor策略限制：安全模块限制了用户的登录权限。
• SSH密钥权限不当：如 ~/.ssh 目录或私钥文件权限过于宽松。

3. 排查流程图

graph TD
    A[开始] --> B{是否为SSH登录?}
    B -->|是| C[检查SSH服务配置]
    B -->|否| D[检查本地登录限制]
    C --> E[查看/etc/ssh/sshd_config]
    D --> F[检查/etc/securetty]
    E --> G[确认AllowUsers/DenyUsers设置]
    F --> H[检查PAM模块]
    G --> I[验证用户是否被允许登录]
    H --> J[查看/var/log/auth.log]
    I --> K{是否有日志记录?}
    J --> K
    K -->|有| L[分析日志内容]
    K -->|无| M[检查服务运行状态]
    L --> N[判断是否为密码过期、账户锁定等问题]
    M --> O[重启相关服务测试]
    N --> P[解决对应问题]
    O --> P
    P --> Q[结束]
    

4. 日志文件与诊断工具

系统日志文件是排查“Access Denied”问题的重要依据，主要关注以下路径：

常用诊断命令包括：

• lastb：查看最近的失败登录尝试。
• faillog：显示失败登录计数器。
• passwd -S username：查看用户密码状态。
• chage -l username：查看密码有效期。

5. 具体解决方案与配置建议

针对不同场景，可采取如下措施：

1. 解锁账户：
   使用命令 passwd -u username 解锁用户账户。
2. 重置密码过期状态：
   执行 chage -d -1 username 可将密码设为永不过期。
3. 调整SSH配置：
   编辑 /etc/ssh/sshd_config 文件，确保如下配置正确：

   PermitRootLogin yes/no
   AllowUsers user1 user2
   DenyUsers user3

4. 修复PAM配置：
   检查 /etc/pam.d/sshd 或 /etc/pam.d/login 文件是否存在语法错误或逻辑冲突。
5. 调整键盘映射：
   使用 localectl set-keymap us 设置标准美式键盘布局。
6. 临时关闭SELinux/AppArmor：
   SELinux 可使用 setenforce 0 临时禁用；AppArmor 可使用 systemctl stop apparmor。
7. 修正SSH密钥权限：
   确保 ~/.ssh 权限为 700，~/.ssh/authorized_keys 权限为 600。