“Quiosque Virtual SSH”. O “PermitEmptyPasswords yes” funciona? Como fazer usuário ssh com senha vazia, para que usuários aleatórios possam usá-lo?

2

Como tornar segura a conta ssh com senha vazia para executar binário confiável? Eu gostaria de fazer um tipo de "virtual ssh Kiosk" para usuários aleatórios, limitando o "aplicativo de demonstração" por trás do ssh "pseudo-user".

Por "seguro", quero dizer, "seguro para o aplicativo demo de execução do servidor para visitantes aleatórios". Basicamente, para servir a aplicação por trás da conta do ssh como serviço, da mesma forma que o https serve sites.

(Vamos supor que, para o propósito desta questão, confiamos em /bin/cat ou /usr/bin/cat - dependendo do sistema do servidor, por favor, verifique o seu com which echo )

Enquanto trabalhava no link , encontrei problemas com a criação da senha vazia. O PAM rejeita isso.

como está configurado

Aqui está a configuração que uso e funciona quando a senha é definida para o usuário cat . Ela também é descrita no link :

# below configured on Ubuntu Server 14.04 LTS
addgroup catonly
CHROOT=/var/chroot/cat
# now let's make pseudo-shell binary, executing your ForceCommand (check source)
# you can use bash as default shell instead, I prefer sth less bloated.
cd /tmp
wget 'https://gist.githubusercontent.com/gwpl/abcbc74c2bf377945a49097237edfb9b/raw/1993e8acc4bd66329959b1a658fcce4296d2a80c/only_exec_command.c'
gcc only_exec_command.c -static -o only_exec_command
mkdir -p "$CHROOT"/{bin,lib,lib64,dev/pts,home/cat}
chown root:root /var/chroot "$CHROOT"
# dependig on distro it might be /usr/bin/cat -> check with 'which cat'
useradd -d /home/cat -s /bin/only_exec_command -M -N -g catonly cat
passwd -d cat
# Let's make chroot
cp /tmp/only_exec_command "$CHROOT"/bin/
cp /bin/cat "$CHROOT"/bin/
mknod -m 666 "$CHROOT"/dev/null c 1 3
ldd /bin/cat # tells us which libraries to copy
cp /lib/x86_64-linux-gnu/libc.so.6 "$CHROOT"/lib
cp /lib64/ld-linux-x86-64.so.2 "$CHROOT"/lib64
chown cat:catonly "$CHROOT"/home/cat
chown root:root /var/chroot/cat /var/chroot /var
$ $EDITOR /etc/ssh/sshd_config # add:
Match user cat
       ChrootDirectory /var/chroot/cat
       X11Forwarding no
       AllowTcpForwarding no
       # dependig on distro it might be /usr/bin/cat -> check with 'which cat'
       ForceCommand /bin/cat
       PasswordAuthentication yes
       PermitEmptyPasswords yes

os sintomas sugerem que é o PAM

Mas, ao tentar ssh , resulta em pedir senha e fornecer resultados vazios em deny:

ssh [email protected]
[email protected]'s password:
Permission denied, please try again.

No lado do servidor em execução no modo de depuração, não há nada interessante em logs, deixe-me citar parte do lado do servidor, durante o login, depois de digitar a senha vazia:

/usr/sbin/sshd -ddd -p 1234
(...)
debug1: userauth-request for user echo service ssh-connection method password [preauth]
debug1: attempt 2 failures 1 [preauth]
debug2: input_userauth_request: try method password [preauth]
debug3: mm_auth_password entering [preauth]
debug3: mm_request_send entering: type 12 [preauth]
debug3: mm_auth_password: waiting for MONITOR_ANS_AUTHPASSWORD [preauth]
debug3: mm_request_receive_expect entering: type 13 [preauth]
debug3: mm_request_receive entering [preauth]
debug3: mm_request_receive entering
debug3: monitor_read: checking request 12
debug3: PAM: sshpam_passwd_conv called with 1 messages
debug1: PAM: password authentication failed for echo: Authentication failure
debug3: mm_answer_authpassword: sending result 0
debug3: mm_request_send entering: type 13
Failed password for echo from 192.168.1.1 port 43816 ssh2
debug3: mm_auth_password: user not authenticated [preauth]
debug3: userauth_finish: failure partial=0 next methods="publickey,password" [preauth]
    
por Grzegorz Wierzowiecki 30.04.2016 / 10:10

2 respostas

4

Você precisa informar PAM também que deseja permitir senhas vazias. Existe algum tutorial desatualizado descrevendo isso. Mas em resumo:

sudo sed -i 's/nullok_secure/nullok/' /etc/pam.d/common-auth

deve fazer o trabalho.

    
por 30.04.2016 / 10:29
0

Para proteger o acesso ssh, você deve não permitir login livre de autenticação. Configure uma chave RSA para autenticação e, em seguida, o cliente poderá usá-la em vez de precisar de uma senha.

    
por 30.04.2016 / 15:00