O que impede que a opção “nullok” da configuração padrão do PAM do RHEL7 permita senhas vazias?

Navegue suas respostas
2

A configuração /etc/pam.d/password-auth é incluída por vários serviços PAM , incluindo sshd . Esta é a sua estrofe auth : 

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

Eu devo estar entendendo mal a segunda linha porque, olhando para man pam_unix e man pam.d , ela deve efetivamente permitir senhas vazias: 

   nullok
       The default action of this module is to not permit the user access to a service if their official
       password is blank. The nullok argument overrides this default.

No entanto, mesmo se eu definir um usuário com uma senha vazia em /etc/shadow , não consigo fazer login: 

# grep johndoe /etc/shadow
johndoe::16335:0:99999:7:::

O que me falta no entendimento de como PAM e pam_unix funcionam?

    
por Belmin Fernandez 22.09.2014 / 21:29

1 resposta

0

Isso ocorre porque a opção de configuração PermitEmptyPasswords para sshd está definida para negar senhas vazias. De man 5 sshd_config : 

   PermitEmptyPasswords
          When password authentication is  allowed,  it  specifies  whether  the  server
          allows login to accounts with empty password strings.  The default is ''no''.

Ponto-chave: o padrão é negar senhas vazias em ssh.

    
por 23.09.2014 / 01:16

Tags

Enviar / receber monitor de largura de banda por aplicativo? não pode encontrar meu nome de usuário em / etc / passwd nem o nome do meu grupo inicial em / etc / group