Como proibir o uso de uma conta raiz LDAP

Question

Como proibir o uso de uma conta raiz LDAP

#1 resposta do (2 votos)

1

Eu sou responsável por alguns servidores na minha universidade. Todas essas máquinas são configuradas para conversar com o servidor LDAP do meu departamento para permitir logins de usuários centralizados. Neste servidor LDAP, existe um usuário chamado root :

# getent passwd | grep root
root:x:0:0:root:/root:/bin/bash
root:x:0:0:Netbios Domain Administrator:/home/root:/bin/false

Recentemente, tive problemas com a conta root em um dos servidores pelos quais sou responsável: Minha tentativa de conexão SSH foi autenticada com êxito no usuário root local, mas o diretório inicial foi retirado do LDAP como %código%. Além disso, descobri que se pode autenticar como root com as credenciais /home/root do LDAP em qualquer servidor, ou seja, se a autenticação contra o local root falhar, o LDAP root é tentado e, dada a senha correta, o usuário está logado como superusuário.

Acredito que isso não seja muito seguro e que a ambiguidade das duas contas root seja removida. No entanto, de acordo com nosso departamento de TI, o LDAP root é necessário.

Como posso filtrar a conta root do LDAP para não permitir a autenticação com ela? Estou usando root e também algumas diretivas do ldap em pam_ldap.so .

authentication pam ldap

por janoliver 15.10.2014 / 10:47

1 resposta

Tags authentication pam ldap

Recorte uma parte específica de uma coluna de um arquivo csv [closed] Aplicando patch para falha do bash

score 2 · Accepted Answer

Existem muitas maneiras, aqui estão algumas fáceis:

em /etc/ssh/sshd_config change PermitRootLogin para no (geralmente é uma boa ideia, então confie em su / sudo para administração). Isso afeta apenas o SSH, é claro.
nos vários arquivos de configuração do PAM, use o módulo pam_listfile para permitir explicitamente ou negar determinadas contas (precisa ser feito para cada serviço)
nos vários arquivos de configuração do PAM, configure o pam_ldap module pam_min_uid para 1 (ou superior) para que o root não possa efetuar login (precisa ser feito para cada serviço)
alterar o filtro de pesquisa LDAP do PAM ( pam_filter ) para excluir usuários (por exemplo, pam_filter (uidNumber>=1) ou você pode alterar a base / escopo

Qualquer um dos dois últimos pode ser o melhor ajuste para você. Você também pode precisar fazer alguns ajustes na configuração local do PAM para que uma conta root local via pam_unix possa ter sucesso se pam_ldap falhar (por exemplo, pedido e necessário / requisito / suficiente).