คำถามติดแท็ก pam

ฉันสังเกตเห็นสิ่งแปลก ๆ (ดีตามฉัน) เกี่ยวกับรหัสผ่าน ตัวอย่างเช่นถ้าฉันพิมพ์รหัสผ่านไม่ถูกต้องในระหว่างการเข้าสู่ระบบจะมีความล่าช้าไม่กี่วินาทีก่อนที่ระบบจะบอกฉัน เมื่อฉันพยายามsudoใช้รหัสผ่านผิดฉันจะต้องรอก่อนที่เชลล์จะบอกว่า "ขออภัยลองอีกครั้ง" ฉันสงสัยว่าทำไมต้องใช้เวลา "จำ" รหัสผ่านไม่ถูกต้อง สิ่งนี้มีให้เห็นในดิสทริบิวชันต่าง ๆ ที่ฉันใช้ (และแม้กระทั่ง OSX) ดังนั้นฉันคิดว่านี่ไม่ใช่สิ่งที่เฉพาะเจาะจงในการจัดจำหน่าย

89 security  password  authentication  pam 

ฉันต้องอนุญาตให้ผู้ใช้martinสลับไปยังผู้ใช้martin-testโดยไม่ต้องใช้รหัสผ่าน su - martin-test ฉันคิดว่านี่สามารถกำหนดค่า/etc/pam.d/suได้ มีบางบรรทัดในไฟล์นั้นซึ่งสามารถยกเลิกหมายเหตุได้ แต่ผมไม่ชอบความคิดของการเพิ่มผู้ใช้ไปยังกลุ่มmartin wheelฉันไม่ต้องการที่จะให้martinสิทธิพิเศษใด ๆ martin-testมากกว่าที่จะสามารถที่จะเปลี่ยนไป sudoฉันยังไม่ต้องการที่จะใช้ อะไรจะเป็นวิธีที่ดีที่สุดที่จะทำในขณะที่รักษาสิทธิ์ของผู้ใช้martinน้อยที่สุด?

51 users  password  authentication  pam 

หลังจากป้อนรหัสผ่านไม่ถูกต้องที่พรอมต์การลงชื่อเข้าใช้จะมีความล่าช้าประมาณ 3 วินาที ฉันจะเปลี่ยนสิ่งนั้นบนระบบ Linux ด้วย PAM ได้อย่างไร

32 login  pam  hardening 

ฉันพยายามบังคับให้ผู้ใช้ที่เพิ่งสร้างใหม่เปลี่ยนรหัสผ่านในการเข้าสู่ระบบครั้งแรกโดยใช้ ssh เพื่อเหตุผลด้านความปลอดภัยฉันต้องการให้รหัสผ่านที่ปลอดภัยแก่เขาจนกว่าเขาจะลงชื่อเข้าใช้เป็นครั้งแรก ฉันทำสิ่งต่อไปนี้: useradd -s /bin/bash -m -d /home/foo foo passwd foo การทำchage -d 0 fooเพียงให้ฉันข้อผิดพลาดYour account has expired; please contact your system administratorในการเข้าสู่ระบบ ssh

28 linux  bash  ssh  login  pam 

ฉันจัดการสภาพแวดล้อมเครือข่ายและฉันมีสถานการณ์ที่น่าสนใจเกิดขึ้นเมื่อวานนี้ เมื่อโฮสต์จำเป็นต้องปิดระบบโดยผู้ใช้ปกติจะไม่ทำเช่นนั้นหากผู้ใช้รายอื่นเข้าสู่ระบบในเครื่อง อย่างไรก็ตามนี่ไม่ใช่กรณีที่ผู้ใช้รายอื่นเข้าสู่ระบบผ่านทาง SSH หากผู้ใช้รายหนึ่งเข้าสู่ระบบในเครื่องและผู้ใช้รายหนึ่งเข้าสู่ระบบผ่านทาง SSH และผู้ใช้ที่เข้าสู่ระบบในเครื่องพยายามปิดระบบสำเร็จโดยไม่แจ้งเตือนและการเชื่อมต่อ SSH ของผู้ใช้รายอื่นจะถูกยกเลิกทันที คำถามของฉันคือมีวิธีป้องกันเช่นนี้นโยบายสำหรับผู้ใช้ท้องถิ่นหรือไม่ ฉันดูหน้าคนนั้นsshd_configแล้วและไม่พบสิ่งที่เกี่ยวข้องเลย แก้ไข (ข้อมูลเพิ่มเติม): มี 4 ระบบปฏิบัติการบนเครือข่าย: Mandriva 2009, Mandriva 2010.2, Mandriva 2011 และ Ubuntu 11.04 กรณีเฉพาะที่ฉันอ้างถึงมีผู้ใช้ SSH ในโฮสต์ Mandriva 2009 และผู้ใช้ท้องถิ่นในโฮสต์ Mandriva 2011 โฮสต์ Mandriva 2009 ใช้สภาพแวดล้อม GNOME 2.28, โฮสต์ 2010.2 ใช้ GNOME 2.32, 2011 โฮสต์ใช้ KDE Plasma และโฮสต์ Ubuntu …

20 ubuntu  ssh  shutdown  pam  mandriva 

ตามค่าเริ่มต้นบน RHEL 5.5 ฉันมี [deuberger@saleen trunk]$ sudo cat /etc/securetty console vc/1 vc/2 vc/3 vc/4 vc/5 vc/6 vc/7 vc/8 vc/9 vc/10 vc/11 tty1 tty2 tty3 tty4 tty5 tty6 tty7 tty8 tty9 tty10 tty11 ความแตกต่างระหว่างแต่ละประเภทรายการคืออะไร (console, vc / , และ tty ) ผลลัพธ์สุดท้ายของการเพิ่มและลบแต่ละประเภทรายการคืออะไร ความเข้าใจของฉันคือสิ่งที่พวกเขามีผลต่อวิธีและเวลาที่คุณสามารถเข้าสู่ระบบ แต่มีผลกระทบอื่น ๆ ? และเมื่อใดที่คุณและเมื่อคุณไม่สามารถลงชื่อเข้าใช้ขึ้นอยู่กับว่ามีรายการใดบ้าง แก้ไข 1 สิ่งที่ฉันรู้คือ tty …

19 linux  security  rhel  login  pam 

ฉันกำลังเพิ่มตัวแปร env ไว้/etc/environmentแต่เนื่องจากค่าตัวแปรมี # sign สตริงจึงถูกสไทรพ์ MYSQL_PWD="something#no" ตอนนี้ถ้าฉันทำข้างต้นอัตราผลตอบแทนรหัสenv MYSQL_PWD=somethingฉันจะหนีแฮชได้อย่างไร ฉันลอง\ตัวละครแล้ว

17 environment-variables  login  pam 

ฉันใช้ Zabbix เพื่อตรวจสอบสภาพแวดล้อมของฉันและzabbix_agentdดำเนินการในฐานะผู้ใช้zabbixสคริปต์ที่กำหนดเองหนึ่งครั้งทุก ๆ 60 วินาที; จะใช้ในการเรียกใช้สคริปต์นี้เป็นsudoroot ใน/var/log/auth.logฉันเห็นทุก ๆ 60 วินาที: Aug 11 17:40:32 my-server sudo: pam_unix(sudo:session): session opened for user root by (uid=0) Aug 11 17:40:32 my-server sudo: pam_unix(sudo:session): session closed for user root ฉันต้องการหยุดข้อความนี้ไม่ให้น้ำท่วมบันทึกของฉัน ฉันเพิ่มบรรทัดต่อไปนี้ไปยัง/etc/pam.d/sudoไฟล์ทันทีก่อนsession required pam_unix.so: session [success=1 default=ignore] pam_succeed_if.so service in sudo quiet uid = 0 …

16 sudo  logs  authentication  pam 

เราจัดเก็บผู้ใช้ของเราใน LDAP พร้อมกับกลุ่มที่มีความหมายในระบบที่แตกต่างกัน (บทบาทขององค์กรรวมถึงwheel) นอกจากนี้ยังมีกลุ่มท้องถิ่นไปยังเวิร์กสเตชันเช่นaudioหรือvideoที่ไม่พึงประสงค์ที่จะใส่ลงใน LDAP ตอนนี้ถ้าฉันเข้าสู่ระบบในท้องถิ่นฉันจะได้รับกลุ่มท้องถิ่นเหล่านั้น แต่ถ้าฉันเข้าสู่ระบบผ่าน SSH ในเครื่องเดียวกันฉันขาดพวกเขา แน่นอนว่าพวกเขาจะกลับมาถ้าฉันใช้suตรงหลังจากนั้น ฉันอาจผิดทาง แต่สงสัยว่า PAM รายการที่เกี่ยวข้องจาก nsswitch.conf passwd: compat ldap shadow: compat ldap group: compat ldap สำหรับ pam ให้ตรวจสอบความถูกต้องเสมอ แต่บรรทัดอื่น ๆ จะเหมือนกัน /etc/pam.d/sshd auth include system-remote-login /etc/pam.d/system-remote-login(เหมือนsystem-local-loginฉันอาจเพิ่ม) auth include system-login /etc/pam.d/system-login auth required pam_tally2.so onerr=succeed auth required pam_shells.so auth required pam_nologin.so …

14 ssh  group  authentication  pam  ldap 

XDG_RUNTIME_DIRจำเป็นสำหรับsystemctl --userการทำงาน ฉันได้เซ็ตอัพเซิร์ฟเวอร์ Ubuntu 16.04 เพื่อเรียกใช้เซสชันผู้ใช้ systemd ตอนนี้เมื่อพยายามที่จะจัดการพวกเขาฉันพบว่าเมื่อเปลี่ยนผู้ใช้ผ่านsudo -u $user -iหรือแม้กระทั่งsu - $userสภาพแวดล้อมไม่ได้XDG_RUNTIME_DIRตั้งค่าการป้องกันsystemctl --userจากการทำงาน อย่างไรก็ตามเมื่อฉันsshเข้าสู่ผู้ใช้นั้นจะถูกตั้งค่าอย่างถูกต้อง หากฉันเข้าใจเอกสารอย่างถูกต้องควรตั้งค่านี้libpam-systemdเมื่อสร้างเซสชันผู้ใช้ ชิ้นส่วนของผู้ใช้เริ่มต้นอย่างถูกต้องเนื่องจากมีไดเรกทอรีที่XDG_RUNTIME_DIRควรชี้ ( /run/users/$uid) อยู่ ฉันลังเลที่จะใส่รหัสลงใน.bash_profileเพราะว่าดูเหมือนว่าแฮ็ก (แม้ว่าจะใช้งานได้) เมื่อแพมควรดูแลมัน ฉันสามารถของหลักสูตรเพิ่มXDG_RUNTIME_DIRไปenv_keepในsudoersแต่ที่เพิ่งจะรักษาสภาพแวดล้อมของผู้ sudoing ซึ่งไม่ได้เป็นสิ่งที่ฉันต้องการ ฉันต้องการสภาพแวดล้อมของผู้ใช้เป้าหมาย สิ่งที่ฉันสงสัยจริงๆคือทำไมเซสชั่นนี้ถูกตั้งค่าอย่างถูกต้องด้วยsshแต่ไม่ใช่suหรือsudo -i?

14 ssh  systemd  sudo  pam 

ฉันกำลังศึกษา PAM และฉันค่อนข้างสับสนเกี่ยวกับความหมายของการรวมกันของธงควบคุม จากเอกสารของ Red Hat เรามี: ความล้มเหลวที่จำเป็นของ PAM ดังกล่าวในที่สุดจะนำไปสู่ความล้มเหลวในการส่งคืน PAM-API แต่หลังจากโมดูลที่เหลืออยู่ (สำหรับบริการและประเภทนี้) ได้ถูกเรียกใช้ สิ่งที่ จำเป็นต้องมีตามต้องการอย่างไรก็ตามในกรณีที่โมดูลดังกล่าวส่งคืนความล้มเหลวการควบคุมจะถูกส่งกลับไปยังแอปพลิเคชันโดยตรง ความสำเร็จที่เพียงพอของโมดูลดังกล่าวเพียงพอที่จะตอบสนองความต้องการการรับรองความถูกต้องของสแต็คของโมดูล (หากโมดูลที่จำเป็นก่อนหน้านี้ล้มเหลวความสำเร็จของโมดูลนี้จะถูกละเว้น) ความล้มเหลวของโมดูลนี้ไม่ถือว่าร้ายแรงถึงความพึงพอใจกับแอปพลิเคชันที่ประสบความสำเร็จในประเภทนี้ หากโมดูลสำเร็จเฟรมเวิร์ก PAM จะส่งคืนความสำเร็จให้กับแอ็พพลิเคชันทันทีโดยไม่ต้องลองโมดูลอื่น ๆ ดังนั้นในความเข้าใจของฉันหากโมดูลrequisiteล้มเหลวสแต็กของโมดูลทั้งหมดจะไม่ถูกแยกวิเคราะห์และการควบคุมจะกลับไปที่แอปพลิเคชันทันที หากโมดูลsufficientสำเร็จโมดูลส่วนที่เหลือจะไม่ถูกแยกวิเคราะห์และการควบคุมจะกลับไปที่แอปพลิเคชันทันที หากโมดูลrequiredล้มเหลวสแต็กทั้งหมดจะถูกวิเคราะห์คำ ตอนนี้ฉันไม่สามารถเข้าใจสิ่งที่จะเป็นพฤติกรรมเมื่อโมดูลบางอย่างrequiredล้มเหลวและโมดูลอื่นsufficientประสบความสำเร็จ

14 authentication  pam 

การย้ายการกำหนดค่า vsftpd ที่พยายามและจริงไปยังเซิร์ฟเวอร์ใหม่ด้วย Fedora 16 ฉันพบปัญหา ดูเหมือนว่าทั้งหมดจะเป็นไปตามที่ควรจะเป็น ฉันไม่พบรายการใด ๆ ในบันทึกที่ระบุว่าเกิดอะไรขึ้น นี่คือไฟล์กำหนดค่าแบบเต็ม: anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES xferlog_file=/var/log/vsftpd.log xferlog_std_format=YES idle_session_timeout=0 data_connection_timeout=0 nopriv_user=ftpsecure connect_from_port_20=YES listen=YES chroot_local_user=YES chroot_list_enable=NO ls_recurse_enable=YES listen_ipv6=NO pam_service_name=vsftpd userlist_enable=YES tcp_wrappers=YES FTP ท้าให้ฉันใช้ชื่อผู้ใช้และรหัสผ่านที่ฉันให้ไว้พวกเขาเข้าสู่ระบบไม่ถูกต้อง ฉันได้ตรวจสอบแล้วผู้ใช้รายนี้สามารถเข้าสู่ระบบจาก ssh มีบางอย่างpam_serviceผิดพลาด ไม่ระบุชื่อ (ถ้าเปลี่ยนเป็นอนุญาต) ดูเหมือนว่าจะทำงานได้ดี SELinux ถูกปิดใช้งาน ดูเหมือนว่า Ftpsecure จะได้รับการกำหนดค่าให้ดี ... ฉันสูญเสียไปอย่างสิ้นเชิง! นี่คือล็อกไฟล์ที่ฉันตรวจสอบโดยไม่ประสบความสำเร็จ: /var/log/messages /var/log/xferlog …

13 security  ftp  authentication  pam 

มีเครื่อง SLES 11 อยู่ ผู้ใช้เข้าสู่ระบบผ่านทาง SSH และ pubkey (ผสมผู้ใช้บางคนใช้รหัสผ่านบางคนใช้คีย์ ssh) sshd_config มี: UsePAM yes PasswordAuthentication yes PubkeyAuthentication yes ปัญหา: หากรหัสผ่านหมดอายุสำหรับผู้ใช้ที่ใช้การเข้าสู่ระบบ pubkey ผู้ใช้จะได้รับแจ้งให้เปลี่ยนรหัสผ่าน คำถาม:เราจะตั้งค่า PAM หรือ sshd ให้ผู้ใช้เข้าสู่ระบบได้อย่างไรหากพวกเขามีคีย์ SSH ที่ถูกต้องและรหัสผ่านหมดอายุ - โดยไม่ต้องโผล่ "เปลี่ยนรหัสผ่าน" อัปเดต # 1: วิธีแก้ปัญหาไม่สามารถเป็น: "UsePAM no" SERVER:~ # cat /etc/pam.d/sshd #%PAM-1.0 auth requisite pam_nologin.so auth include common-auth account …

12 ssh  users  password  pam 

วิธีล็อคผู้ใช้หลังจากพยายามเข้าสู่ระบบไม่สำเร็จ 5 ครั้ง ฉันรวบรวมดิสทริบิวชั่น / รุ่นมาสองสามชุดเพื่อทำ แต่ฉันไม่สามารถทดสอบได้ RHEL4 : โดยการเพิ่ม: auth required /lib/security/$ISA/pam_tally.so no_magic_root account required /lib/security/$ISA/pam_tally.so deny=5 reset no_magic_root ถึง: /etc/pam.d/system-auth /etc/pam.d/login /etc/pam.d/sshd RHEL4 : ??? SLES9 : โดยการเพิ่ม: auth required pam_tally.so no_magic_root account required pam_tally.so deny=5 reset no_magic_root ถึง: /etc/pam.d/login /etc/pam.d/sshd SLES11 หรือ SLES10 : โดยการเพิ่ม: auth required …

12 password  pam  lock 

ปัญหา ดูเหมือนว่าคำถามนี้จะถูกถามเป็นพัน ๆ ครั้ง แต่ฉันก็ยังไม่สามารถปลดล็อครหัสการเข้าสู่ระบบของฉันได้โดยอัตโนมัติ พื้นหลัง ฉันโดยอัตโนมัติเข้าสู่ระบบ chvt และ startx พร้อมเส้นเหล่านี้เข้าไปใน i3wm ที่แล้วยิงขึ้นi3lock การแก้ไข ฉันต้องการให้พวงกุญแจเข้าสู่ระบบ gnome ของฉันปลดล็อคโดยอัตโนมัติเมื่อฉันเข้าสู่ระบบ (หรือเมื่อฉันปลดล็อค i3lock) แต่ฉันไม่สามารถใช้คำแนะนำใด ๆ ที่ฉันพบออนไลน์ได้สำเร็จ ผลการวิจัย วิกิพีเดียซุ้มประตูมีทั้งสิ่งที่เกี่ยวกับเรื่องนี้ซึ่งผมพยายาม แต่ล้มเหลวที่จะทำ ฉันได้ดูคำถาม / คำตอบอื่น ๆ อีกมากมายซึ่งมีคำแนะนำที่คล้ายคลึงกันซึ่งไม่มีประโยชน์ สิ่งหนึ่งที่ฉันสังเกตุคือฉันไม่สามารถปลดล็อครหัสผ่านเข้าสู่ระบบecho $LOGINPASSWORD | gnome-keyring-daemon --unlockได้ journalctlรายงาน Jul 07 20:08:16 ERIS gnome-keyring-daemon[26585]: failed to unlock login keyring on startup เมื่อฉันเปิดม้านำ้าเพื่อปลดล็อคด้วยตนเองรายงานว่ารหัสผ่านการเข้าสู่ระบบมีการเปลี่ยนแปลงและขอให้ฉันป้อนรหัสผ่านเก่าของฉัน รายงาน …

11 ubuntu  systemd  pam  i3  gnome-keyring