Evitar a autenticação vsFTP via AD

0

Eu tenho um vm muito pequeno instalado, para fins de teste, rodando o CentOS 1708, com o vsftp configurado. eu usei

link

para configurar a autenticação de anúncios para a parte do sistema operacional, mas não deseja que os usuários de anúncios façam login por meio do cliente FTP.

Primeiramente, eu preciso da autenticação de anúncios para fins de administração via ssh internamente, não através da internet, e logins de FTP puramente via usuários locais.

Eu notei que se um usuário não tiver feito o login neste vm via ssh, ele / ela não poderá logar via porta ftp 21 usando credenciais de anúncio, já que ele falha ao criar o diretório pessoal.

o que é bom, eu acho, mas eu estou procurando uma maneira de impedir ad auth completamente AD, só permitido via ssh ou terminal

Eu não quero autenticação de anúncios via FTP, pois isso coloca meus usuários de anúncios na Internet sob o risco de serem "hackeados" ou bloqueados

alguma sugestão sobre como posso fazer isso?

    
por Fishy 12.03.2018 / 12:53

2 respostas

1

Os módulos PAM envolvidos na autenticação vsFTPd são definidos em /etc/pam.d/vsftpd . Por padrão, tem uma linha:

auth   include    password-auth

que usa a configuração padrão do PAM em todo o sistema para autenticação baseada em senha especificada em /etc/pam.d/password-auth . Quando a autenticação do AD é configurada, os módulos PAM relevantes são normalmente adicionados a /etc/pam.d/password-auth .

Se você não quiser que a autenticação do AD funcione com o vsFTPd, edite o arquivo /etc/pam.d/vsftpd . Comente a linha

auth   include   password-auth

e depois da linha comentada, escreva nas linhas relevantes do arquivo password-auth como existe em um sistema sem autenticação AD configurada:

auth    required     pam_env.so
auth    required     pam_faildelay.so delay=2000000
auth    sufficient   pam_unix.so nullok try_first_pass
auth    requisite    pam_succeed_if.so uid >= 1000 quiet_success
auth    required     pam_deny.so

Dessa forma, o módulo do provedor de autenticação do AD será completamente impedido de participar da autenticação vsFTPd, portanto, para o vsFTPd, o processo de autenticação acontece como se o sistema não tivesse nenhuma integração do AD.

    
por 13.03.2018 / 16:35
0

O provedor do SSSD AD permite avaliar as políticas do GPO para controle de acesso e para ativar os direitos de Logon do Windows nos serviços do Linux PAM. Eu recomendaria explorar este caminho. btw eu também sugiro não colocar um serviço na lista negra, mas ir para o outro lado, para whitelist apenas os serviços que você deseja permitir nos hosts Linux. A página do manual sssd-ad deve ter alguns exemplos de mapeamento dos direitos de logon para serviços PAM.

    
por 13.03.2018 / 11:32

Tags