คำถามติดแท็ก pam

โมดูลการพิสูจน์ตัวตนแบบเสียบได้ซึ่งเป็นเฟรมเวิร์กที่มีความยืดหยุ่นสำหรับการกำหนดค่าการตรวจสอบความถูกต้องส่วนใหญ่เป็นองค์ประกอบการเข้าสู่ระบบของระบบ Linux แต่ใช้ในส่วนประกอบอื่น ๆ และระบบปฏิบัติการ

2
ลงชื่อเข้าใช้ช้า ssh - การเปิดใช้งานของ org.freedesktop.login1 หมดเวลา
ที่หนึ่งในเซิร์ฟเวอร์ของฉันฉันสังเกตเห็นความล่าช้าในการเข้าสู่ระบบ SSH การเชื่อมต่อโดยใช้ตัวเลือก ssh -vvv ความล่าช้าเกิดขึ้นที่ debug1: Entering interactive session. สารสกัดจากการเชื่อมต่อ: debug1: Authentication succeeded (publickey). Authenticated to IP_REDACTED ([IP_REDACTED]:22). debug1: channel 0: new [client-session] debug3: ssh_session2_open: channel_new: 0 debug2: channel 0: send open debug1: Requesting no-more-sessions@openssh.com debug1: Entering interactive session. debug2: callback start debug2: fd 3 setting TCP_NODELAY debug3: packet_set_tos: …
39 ssh  debian  pam  systemd 

6
เปิดการดีบัก PAM เป็น Syslog
ฉันเกลียด PAM ตั้งแต่มันเกิดขึ้น ฉันจะเปิดการดีบัก PAM ใน Debian Squeeze ในระดับผู้ดูแลระบบได้อย่างไร ฉันได้ตรวจสอบทุกทรัพยากรที่ฉันสามารถหาได้ Google manpages อะไรก็ตาม สิ่งเดียวที่ฉันยังไม่ได้ลองเลย (ฉันไม่กล้าพูดถึงฉันเกลียด PAM หรือเปล่า) กำลังขุดเข้าไปในแหล่งห้องสมุดของ PAM ฉันพยายาม google หาทางออกไม่มีอะไร สิ่งที่ฉันพบ: http://www.bitbull.ch/wiki/index.php/Pam_debugging_funktion ( /etc/pam_debug) และ http://nixdoc.net/man-pages/HP-UX/man4/pam.conf.4.html ( debugตัวเลือกสำหรับรายการ PAM ใน/etc/pam.d/) ไม่ไม่ทำงาน ไม่มีเอาต์พุต PAM ไม่มีอะไรเงียบอย่างแน่นอน ในขณะที่ค้นหาวิธีแก้ปัญหาฉันยังติดตามลิงก์ไปยัง Pam ซึ่งเป็นสถานีบริการน้ำมันที่นี่ในเยอรมนี บางทีอาจจะมีผู้ชมหลายพันคนในที่หลบซ่อนเบาะแส แต่ยิงฉันฉันจะตายก่อนที่ฉันจะค้นพบ ส่วนที่เหลือคือ FYI: ฉันมีปัญหาอะไร หลังจากอัปเกรดเป็น Debian Squeeze มีบางอย่างแปลก ๆ (ก็เฮ้มันเคยครั้งหนึ่งเอ่อสิ่งที่ถูกต้องเหนือ …
34 syslog  pam  debug 

6
pam service (sshd) ไม่สนใจการลองซ้ำสูงสุด
ฉันมี vps ที่ฉันใช้เพื่อเรียกใช้เว็บเซิร์ฟเวอร์ในขณะนี้ทำงานบนเซิร์ฟเวอร์ ubuntu 12.04 ตั้งแต่สองสามสัปดาห์ฉันได้รับข้อผิดพลาดมากมายในคอนโซล ssh ของฉัน 2014 Apr 11 08:41:18 vps847 PAM service(sshd) ignoring max retries; 6 > 3 2014 Apr 11 08:41:21 vps847 PAM service(sshd) ignoring max retries; 6 > 3 2014 Apr 11 08:41:24 vps847 PAM service(sshd) ignoring max retries; 6 > 3 2014 Apr 11 …
32 ubuntu  ssh  pam 

3
สามารถเรียนรู้อะไรเกี่ยวกับผู้ใช้จากความพยายาม SSH ที่ล้มเหลว
สามารถเรียนรู้อะไรเกี่ยวกับ 'ผู้ใช้' จากความพยายาม SSH ที่เป็นอันตรายที่ล้มเหลว ชื่อผู้ใช้ที่ป้อน ( /var/log/secure) ป้อนรหัสผ่าน (หากกำหนดค่าเช่นใช้โมดูล PAM) ที่อยู่ IP ต้นทาง ( /var/log/secure) มีวิธีใดบ้างในการแยกสิ่งอื่นออก ไม่ว่าจะเป็นข้อมูลที่ซ่อนอยู่ในล็อกไฟล์เทคนิคสุ่มหรือจากเครื่องมือของบุคคลที่สามเป็นต้น
24 linux  ssh  logging  pam  hacking 

7
ssh:“ การเข้าถึงถูกปฏิเสธโดยการกำหนดค่าบัญชี PAM” สำหรับผู้ใช้ที่ไม่ใช่รูทหนึ่งคน แต่ไม่ใช่ผู้ใช้อื่น
บน VM ฉันกำลังเริ่มต้นฉันสามารถเข้าสู่ระบบในฐานะผู้ใช้ที่ไม่ใช่รูท ( admin) แต่ไม่ใช่อีกคน ( tbbscraper) เหนือ SSH ด้วยการตรวจสอบสิทธิ์คีย์สาธารณะ ข้อความแสดงข้อผิดพลาดเดียวที่ฉันพบในล็อกไฟล์คือ Sep 18 17:21:04 [REDACTED] sshd[18942]: fatal: Access denied for user tbbscraper by PAM account configuration [preauth] ในด้านของลูกค้าดาวน์ซินโดรมคือ $ ssh -v -i [REDACTED] tbbscraper@[REDACTED] ... debug1: SSH2_MSG_SERVICE_ACCEPT received debug1: Authentications that can continue: publickey debug1: Next authentication method: publickey …
24 ssh  remote-access  pam 

7
มีตัวสร้างรหัสตรวจสอบความถูกต้องแบบสองปัจจัยบรรทัดคำสั่งหรือไม่
ฉันจัดการเซิร์ฟเวอร์ด้วยการตรวจสอบสิทธิ์แบบสองปัจจัย ฉันต้องใช้แอพ Google Authenticator iPhone เพื่อรับรหัสยืนยัน 6 หลักเพื่อป้อนหลังจากป้อนรหัสผ่านเซิร์ฟเวอร์ปกติ การตั้งค่ามีอธิบายไว้ที่นี่: http://www.mnxsolutions.com/security/two-factor-ssh-with-google-authenticator.html ฉันต้องการวิธีรับรหัสยืนยันโดยใช้เพียงแล็ปท็อปไม่ใช่จาก iphone ต้องมีวิธีในการเพาะแอปบรรทัดคำสั่งที่สร้างรหัสยืนยันและให้รหัสสำหรับหน้าต่าง 30 วินาทีปัจจุบัน มีโปรแกรมที่สามารถทำได้หรือไม่?

2
ทำความเข้าใจกับ PAM และ NSS
ในวันสุดท้ายฉันได้ติดตั้งระบบ Linux ด้วยการรับรองความถูกต้องของ LDAP และทุกอย่างทำงานได้ดี แต่ยังมีบางสิ่งที่ฉันไม่สามารถเข้าใจเกี่ยวกับ NSS และ PAM ได้อย่างแท้จริงหลังจากการวิจัยมากมาย อ้างอิง: NSS ช่วยให้ผู้ดูแลระบบสามารถระบุรายการของแหล่งข้อมูลที่ไฟล์รับรองความถูกต้องชื่อโฮสต์และข้อมูลอื่น ๆ จะถูกจัดเก็บและค้นหา และ PAM คือชุดของไลบรารีที่จัดเตรียมแพลตฟอร์มการพิสูจน์ตัวตนที่สามารถกำหนดค่าได้สำหรับแอปพลิเคชันและระบบปฏิบัติการพื้นฐาน สิ่งที่ฉันไม่เข้าใจคือ PAM และ NSS ทำงานอย่างไรและโต้ตอบกัน ในหนังสือเล่มนี้มีการอธิบายสถาปัตยกรรมที่ค่อนข้างดี: ฉันกำหนดค่า PAM เพื่อใช้pam_ldapสำหรับบัญชี LDAP และpam_unixสำหรับบัญชีท้องถิ่นจากนั้นฉันกำหนดค่าnsswitch.confเพื่อดึงข้อมูลจากไฟล์ในเครื่องและ LDAP หากฉันเข้าใจว่าใช้ LDAP อย่างถูกต้องสองครั้งให้ทำก่อนpam_ldapโดย NSS ซึ่งเรียกตัวเองมาpam_unixก่อน นั่นถูกต้องใช่ไหม? LDAP ใช้สองครั้งจริง ๆ หรือไม่ แต่ทำไมฉันต้องกำหนดค่าทั้ง NSS และ PAM คำอธิบายของฉันคือ PAM ทำงานแตกต่างจาก NSS และใช้โดยโปรแกรมอื่น แต่ก็ควรจะใช้เฉพาะ …
21 ldap  authentication  pam  nss 

1
วัตถุประสงค์เบื้องหลังการปิดใช้งาน PAM ใน SSH
ฉันตั้งค่าการตรวจสอบตามที่สำคัญสำหรับ SSH บนกล่องใหม่และอ่านไม่กี่บทความที่กล่าวถึงการตั้งค่าUsePAMไปพร้อมกับnoPasswordAuthentication คำถามของฉันคือสิ่งที่เป็นวัตถุประสงค์ของการตั้งค่าUsePAMไปnoถ้าคุณมีอยู่แล้วPasswordAuthenticationและChallengeResponseAuthenticationกำหนดให้no?
18 security  ssh  pam 


1
เซิร์ฟเวอร์ samba Linux: cifs_mount ล้มเหลวด้วยโค้ดส่งคืน = -12
เซิร์ฟเวอร์: RHEL 5.9 / smbd 3.0.33 - ลูกค้า: หลากหลายแม้ว่าทุกคนกำลังใช้ mount.cifs ปัจจุบัน (5.2) ฉันแก้ไขปัญหานี้ไปแล้ว แต่มันเป็นฝันร้ายที่จะตามล่ารหัสข้อผิดพลาดเหล่านี้ฉันรู้สึกว่ามันต้องการเอกสารสากล อาการ : ไม่สามารถคาดเดาได้และความล้มเหลวในการเมาท์เป็นระยะ ๆ จากไคลเอนต์ cifs หนึ่งไปยังเซิร์ฟเวอร์ samba ของ linux ลูกค้า linux ทั้งหมดของฉันใช้ที่บ้าน pam_mount เมื่อล็อกอิน แบบสุ่มและประปรายม้า dir บ้านเริ่มที่จะล้มเหลวในหนึ่งเครื่อง การเข้าสู่ระบบและการติดตั้งยังคงทำงานอย่างไม่มีที่ติกับไคลเอนต์อื่น ๆ ทั้งหมด ตอนแรกฉันคิดว่ากิจกรรมที่ผิดปกติในไคลเอนต์ที่ใช้งานไม่ได้นั้นทำให้ smbd เป็นคนที่คลั่งไคล้ ความพยายามในการเมาท์ด้วยมือล้มเหลวและรายงาน: Errors from underlying mount program mount error(12): Cannot allocate memory Refer …

1
open file descriptor limit.conf การตั้งค่าไม่ได้อ่านโดย ulimit แม้ว่าจะต้องมี pam_limits.so
ฉันพยายามยกระดับตัวอธิบายไฟล์ที่เปิดสูงสุดสำหรับผู้ใช้ทั้งหมดบนเครื่องอูบุนตู ฉันได้เพิ่มบรรทัดต่อไปนี้ใน/etc/security/limits.conf: * soft nofile 100000 * hard nofile 100000 และตามคำถามนี้ฉันได้ตรวจสอบการ/etc/pam.confตั้งค่าสำหรับpam_limits: $ grep "pam_limits" /etc/pam.d/* /etc/pam.d/atd:session required pam_limits.so /etc/pam.d/common-session:session required pam_limits.so /etc/pam.d/cron:session required pam_limits.so /etc/pam.d/login:session required pam_limits.so /etc/pam.d/sshd:session required pam_limits.so /etc/pam.d/su:session required pam_limits.so /etc/pam.d/sudo:session required pam_limits.so และไฟล์สูงสุดของฉันน่าจะใช้ได้: $ cat /proc/sys/fs/file-max 762659 แต่ฉันยังคงมีค่าเริ่มต้น 1024 เมื่อฉันตรวจสอบulimit -a: $ ulimit -a | grep …
16 linux  ubuntu  pam  ulimit 

2
ไวยากรณ์ของการควบคุม“ success = n” ในไฟล์ pam.conf / pam.d / *
หลังจากกำหนดค่า Kerberos ได้สำเร็จนี่คือสิ่งที่ฉันพบใน/etc/pam.d/common-authไฟล์: auth [success=2 default=ignore] pam_unix.so nullok_secure auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass auth requisite pam_deny.so auth required pam_permit.so ที่ไม่success=2คุ้มค่าการควบคุมหมายความว่าถ้าpam_unix.so ล้มเหลวในการรับรองความถูกต้องข้ามไปยังauth requisite pam_deny.soเส้นหรือเส้นสุดท้าย?
16 linux  pam 

2
วิธีป้องกันผู้ใช้จากการขยายหน้าต่างการเข้าสู่ระบบที่ถูกต้อง
เคยทำงานเกี่ยวกับขั้นตอนการชุบแข็งการรักษาความปลอดภัยสำหรับกล่อง RedHat และฉันต้องการทราบว่าจะเป็นไปได้ไหมที่จะป้องกันไม่ให้ผู้ใช้เปลี่ยนรหัสผ่านเมื่อหมดอายุ สำหรับลูกค้าคนหนึ่งของเราข้อกำหนดคือพวกเขาจะต้องเข้าถึงเซิร์ฟเวอร์ผ่านบัญชีชั่วคราวเท่านั้นซึ่งหมายความว่าเมื่อสร้างข้อมูลประจำตัวผู้ใช้รหัสผ่านจะต้องหมดอายุภายใน 4 ชั่วโมงและเมื่อรหัสผ่านหมดอายุเพียงรากควรจะสามารถเปลี่ยนได้ . สำหรับความต้องการแรก (รหัสผ่านหมดอายุหลังจาก 4 ชั่วโมง) ผมคิดว่ามันจะประสบความสำเร็จโดยการตั้งค่าpasswordMaxAge = 144000 แต่ฉันก็ยังหาวิธีป้องกันไม่ให้ผู้ใช้เปลี่ยนรหัสผ่านที่หมดอายุโดยไม่ต้องปิดการใช้รหัสผ่าน ใครช่วยได้บ้าง

3
การ จำกัด การเข้าสู่ระบบบัญชีโดยใช้ LDAP และ PAM
ฉันหวังว่าปรมาจารย์ PAM / LDAP บางคนอาจช่วยฉันได้ที่นี่ ฉันเพิ่งตั้งค่าไดเรกทอรี LDAP บน Ubuntu Server เพื่อระงับบัญชีสำหรับลูกค้าของฉัน (สำหรับใช้กับระบบบนเว็บ) และพนักงาน (ที่จะต้องลงชื่อเข้าใช้ผ่าน SSH) การตรวจสอบสิทธิ์ LDAP ทำงานได้อย่างสมบูรณ์ อย่างไรก็ตามฉันไม่สามารถใช้ข้อ จำกัด บัญชีได้: บัญชีพนักงานจะมี ID ระหว่าง2001และ2999และจะเป็นสมาชิกของssh-usersกลุ่มเพื่ออนุญาตให้พวกเขาลงชื่อเข้าใช้เซิร์ฟเวอร์ ข้อ จำกัด ในคำถามอยู่ใน/etc/ldap.confและpam_min_uid, และpam_max_uidpam_groupdn pam_groupdnมี DN ทั้งหมดในssh-usersกลุ่ม ของฉัน pam_min_uid= 2000และ=pam_max_uid2999 ตอนนี้ฉันสามารถทำให้พวกมันทำงานได้โดยการเพิ่ม: account [success=1 default=ignore] pam_ldap.so ดังกล่าวข้างต้นสายในpam_unix.so /etc/pam.d/common-accountอย่างไรก็ตามบัญชี Unix ท้องถิ่นนั้นไม่สามารถเข้าสู่ระบบได้: เซิร์ฟเวอร์ SSH ฆ่าการเชื่อมต่อทันทีที่ลอง ฉันได้ตั้งค่าpam_ldap.soโมดูลsufficientเป็นไฟล์ข้างต้น แต่จากนั้นผู้ใช้ที่ไม่ถูกต้องจะได้รับข้อความแจ้งว่าไม่สามารถเข้าสู่ระบบได้ ดังนั้นฉันจะตั้งค่าข้อ จำกัด …
14 ubuntu  ldap  pam 

2
กลไกการอนุญาต OS X ทำอะไรได้จริง?
พื้นหลัง ฉันพยายามที่จะรวบรวมความเข้าใจที่ดีขึ้นของการเข้าสู่ระบบ OS X, เพื่อที่จะตัดสินใจวิธีที่ดีที่สุดเพื่อให้บรรลุVPN Single Sign On โปรดแก้ไขให้ฉันด้วยถ้าฉันผิด แต่ฉันเชื่อว่า - launchd(8)เรียกgettyent(3)จึงกำหนดจากttys(5)การดำเนินการสำหรับloginwindow.app/dev/console loginwindow.appพยายามที่จะได้รับsystem.login.consoleสิทธิ์การอนุญาตซึ่งฐานข้อมูลการอนุญาตระบุกลไกต่อไปนี้ (แสดงพร้อมกับความเข้าใจในการทำงานของพวกเขา); ผู้ที่มีสิทธิ์ใช้งานภายในauthdกระบวนการ (เป็น root) ในขณะที่รายการที่ไม่ได้รับสิทธิ์ให้ดำเนินการภายในSecurityAgentกระบวนการ (เป็น _securityagent): builtin:policy-banner(แสดงแบนเนอร์หน้าต่างเข้าสู่ระบบหากตั้งค่าไว้) loginwindow:login (แจ้งขอข้อมูลประจำตัว) builtin:login-begin builtin:reset-password,privileged(ทำการรีเซ็ตรหัสผ่านโดยใช้ Apple ID ) builtin:forward-login,privileged (ส่งต่อข้อมูลประจำตัวจาก EFI เมื่อบูต) builtin:auto-login,privileged (ใช้ข้อมูลรับรองการเข้าสู่ระบบอัตโนมัติเมื่อบูต) builtin:authenticate,privileged(จะเรียกpam_authenticate(3)สำหรับauthorizationบริการชุด "โพสต์" ค่าบริบท) PKINITMechanism:auth,privileged (เริ่มต้น Kerberos โดยรับ TGT) builtin:login-success loginwindow:success (รักษาความปลอดภัยเซสชั่นเข้าสู่ระบบจากการเข้าถึงระยะไกลที่ไม่ได้รับอนุญาตบันทึกการเข้าสู่ระบบในฐานข้อมูล utmp และ utmpx ของระบบตั้งค่าเจ้าของและสิทธิ์สำหรับเทอร์มินัลคอนโซล) HomeDirMechanism:login,privileged …

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.