Não há nada errado em sua configuração.
Escreva sua configuração na primeira linha de /etc/pam.d/sshd como esta
#%PAM-1.0 auth required pam_listfile.so item=user onerr=fail sense=allow file=/etc/logins_user.txt auth required pam_sepermit.so auth include password-auth account required pam_nologin.so account include password-auth password include password-auth # pam_selinux.so close should be the first session rule session required pam_selinux.so close session required pam_loginuid.so # pam_selinux.so open should only be followed by sessions to be executed in the user context session required pam_selinux.so open env_params session optional pam_keyinit.so force revoke session include password-auth
Isso porque o PAM verificará todas essas configurações linha por linha, se você colocar sua configuração na última linha, qualquer outra condição passará antes de verificar sua condição. É por isso que todos os usuários podem fazer login. Marque isso e me avise.
Tenha cuidado ao tentar isso
Antes de mudar qualquer coisa, faça um backup do arquivo.
se você configurar assim
auth required pam_listfile.so item=user onerr=fail sense=allow file=/etc/logins_user.txt auth include password-auth account required pam_nologin.so . . session include password-auth
E a condição falha ainda O PAM verificará as regras restantes.
se você configurar assim
auth requisite pam_listfile.so item=user onerr=fail sense=allow file=/etc/logins_user.txt auth include password-auth account required pam_nologin.so . . session include password-auth
A condição acima e falha, o PAM não verificará as regras restantes.
obrigatório
Failure also results in denial of authentication, although PAM will still call all the other modules listed for this service before denying authentication.
requisito
Failure to authenticate via this module results in immediate denial of authentication.
Então, no seu caso, pode estar abaixo da condição que dá permissão
auth include password-auth
Você está digitando a senha correta enquanto o ssh.