我对帕姆毫无经验,所以请原谅,如果这是一个明显的问题,或者我提供了错误的信息。
我有一个gentoo服务器,我没有configuration。 它通过Kerberos进行身份validation。 问题是,可以使用不正确的密码login到此服务器上,甚至可以使用sudo 。 日志看起来像这样:
500 Jul 01 20:22:25 [sshd] pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=myhost user=roessler 501 Jul 01 20:22:25 [sshd] pam_krb5(sshd:auth): authentication failure; logname=roessler uid=0 euid=0 tty=ssh ruser= rhost=myhost 502 Jul 01 20:22:25 [sshd] Accepted keyboard-interactive/pam for roessler from <my-IP> port <my-Port> ssh2 503 Jul 01 20:22:25 [sshd] pam_unix(sshd:session): session opened for user roessler by (uid=0) 504 Jul 01 20:22:35 [sudo] pam_unix(sudo:auth): authentication failure; logname=roessler uid=0 euid=0 tty=/dev/pts/0 ruser=roessler rhost= user=roessler 505 Jul 01 20:22:35 [sudo] pam_krb5(sudo:auth): authentication failure; logname=roessler uid=0 euid=0 tty=/dev/pts/0 ruser=roessler rhost= 506 Jul 01 20:22:35 [sudo] roessler : TTY=pts/0 ; PWD=/home/roessler ; USER=root ; COMMAND=/bin/su 507 Jul 01 20:22:35 [sudo] pam_unix(sudo:session): session opened for user root by roessler(uid=0) 508 Jul 01 20:22:35 [su] Successful su for root by root
我看了一下相应的pamconfiguration文件。 他们彼此指向,但最终归结为:
1 auth required pam_tally2.so onerr=succeed 2 auth required pam_shells.so 3 auth required pam_nologin.so 4 auth include system-auth
和(system-auth)
1 auth required pam_env.so 2 auth required pam_listfile.so onerr=fail item=group sense=allow file=/etc/login.group.allowed 3 auth sufficient pam_unix.so try_first_pass likeauth nullok 4 auth sufficient pam_krb5.so use_first_pass debug 5 auth optional pam_permit.so
对我来说,该configuration的第一行看起来是可疑的,但是有另一个服务器具有相同的configuration,它工作得很好。 这甚至让我怀疑我是否在正确的方向寻找…
我欣赏任何提示!
你说有另一台服务器使用相同的configuration,工作正常…但您的身份validation是这样一个不正确的unix和krb5密码通过pam_permit总是返回PAM_SUCCESS。 那很糟。 应该是,而不是pam_permit
auth required pam_deny.so