pam falha de autenticação, mas o sudo e o ssh funcionam

Question

pam falha de autenticação, mas o sudo e o ssh funcionam

#1 resposta do (6 votos)

3

Eu não sou experiente em relação ao pam, então me perdoe se isso for um problema óbvio ou se eu der a informação errada.

Eu tenho um servidor gentoo, não configurei. Faz autenticação via kerberos. O problema é que se pode logar neste servidor com uma senha incorreta e até fazer sudo . O log é assim:

500 Jul 01 20:22:25 [sshd] pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=myhost  user=roessler
501 Jul 01 20:22:25 [sshd] pam_krb5(sshd:auth): authentication failure; logname=roessler uid=0 euid=0 tty=ssh ruser= rhost=myhost
502 Jul 01 20:22:25 [sshd] Accepted keyboard-interactive/pam for roessler from <my-IP> port <my-Port> ssh2
503 Jul 01 20:22:25 [sshd] pam_unix(sshd:session): session opened for user roessler by (uid=0)
504 Jul 01 20:22:35 [sudo] pam_unix(sudo:auth): authentication failure; logname=roessler uid=0 euid=0 tty=/dev/pts/0 ruser=roessler rhost=  user=roessler
505 Jul 01 20:22:35 [sudo] pam_krb5(sudo:auth): authentication failure; logname=roessler uid=0 euid=0 tty=/dev/pts/0 ruser=roessler rhost=
506 Jul 01 20:22:35 [sudo] roessler : TTY=pts/0 ; PWD=/home/roessler ; USER=root ; COMMAND=/bin/su
507 Jul 01 20:22:35 [sudo] pam_unix(sudo:session): session opened for user root by roessler(uid=0)
508 Jul 01 20:22:35 [su] Successful su for root by root

Eu dei uma olhada nos arquivos de configuração pam correspondentes. Eles apontam um para o outro, mas eventualmente se resume a:

1 auth            required        pam_tally2.so onerr=succeed
2 auth            required        pam_shells.so
3 auth            required        pam_nologin.so
4 auth            include         system-auth

e (system-auth)

1 auth            required        pam_env.so
2 auth            required        pam_listfile.so onerr=fail item=group sense=allow file=/etc/login.group.allowed
3 auth            sufficient      pam_unix.so try_first_pass likeauth nullok
4 auth            sufficient      pam_krb5.so use_first_pass debug
5 auth            optional        pam_permit.so

Para mim, a primeira linha dessa configuração parece suspeita, mas há outro servidor com a mesma configuração que funciona bem. Isso até me faz pensar se estou olhando na direção certa ...

Eu aprecio todas as dicas!

authentication configuration

por roesslerj 01.07.2011 / 22:28

1 resposta

Tags authentication configuration

postfix enviando e-mails para endereços desconhecidos Erro de permissão durante a instalação do Microsoft SQL Server 2008 R2

score 6 · Accepted Answer

Você diz que há outro servidor com a mesma configuração que funciona bem ... mas sua autenticação é tal que uma senha unix e krb5 incorreta cai no pam_permit, que sempre retorna PAM_SUCCESS. Isso é ruim. Em vez de pam_permit, deve ser

auth        required      pam_deny.so