使用PAM进行身份validation时,PAM会将远程主机公开给模块。 在代码方面,它通过使用pam_get_item()通过PAM_RHOST公开这个。 但是,如果可能,PAM将尝试将远程主机的IP地址parsing为名称。 如果是这种情况,远程名称将被传递给模块。 有没有办法强制PAM不parsing主机名,以便模块总是只获得validation用户的IP地址?
我一直在列举我后端生产服务器上的其余安全问题,当时我意识到我的操作系统上游存储库中缺less一些可能非常有用的东西。 我一直在寻找一个PAM模块 ,它检查远程主机IP地址对DNS阻止列表 ( DNSBL )。 我的使用案例是…虽然IDS软件可以在检测到探测,漏洞扫描或蛮力攻击之后做出响应 – 某些服务(ie Apache2, proFTPd, Sendmail, SpamAssassin)包含DNSBL模块或function,这有助于大大减less可以参与攻击的计算机数量。 它通过阻止已知的感染或僵尸机器,公共代理和TOR出口中继节点(例如)来实现这一点。 其他人,据我所知,不。 Dovecot/Saslauthd不包括这样的function。 这些在我的networking上经常遭受powershell攻击 。 这些服务仍然由IDS系统覆盖, 但遭受了大部分的攻击 。 使用一个PAM模块来检查远程主机IP,在authentication过程中,对DNSBL进行检查…有效地, 所有的服务都可以具有这种额外的弹性,以抵抗分布式的暴力攻击或探测(限制可用于所述可能的机器攻击) 我想知道是否有一个现有的PAM模块来达到这个目的? 如果没有,为什么开发商忽略了这一点? 这将是一个令人难以置信的简单的模块,(在我看来)可以为一个伟大的目的.. 目前,我已经写了一个脚本,它与PAM进行接口(通过“pam_exec.so”模块)。 出于某种原因,这是行不通的(只是导致BASH崩溃)。 当我有机会,我打算尝试“pam_script.so”模块。 我愿意编写一个PAM模块来做到这一点,但是我不确定将一个软件放入Debian或Ubuntu Repositories是多么困难。 谢谢
我想设置Subversion版本库,以便可以使用相同的用户名和密码来访问存储库,如在SSHlogin。 我设法login工作,以便正确的用户名是必需的,但它接受任何密码。 我怎么能得到它需要有效的密码呢? 我使用“标准模块”,Apache2,Subversion和libapache2-mod-authnz-external运行Ubuntu服务器8.04.2。 另外我发现了一个名为pwauth的实用程序来帮助validation。 以下是来自configuration的相关部分: /etc/apache/apache2.conf AddExternalAuth pwauth /usr/local/bin/pwauth SetExternalAuthMethod pwauth pipe AddExternalGroup unixgroup /usr/local/bin/unixgroup SetExternalGroupMethod unixgroup environment /etc/apache/mods-available/dav_svn.conf: AuthType Basic AuthBasicProvider external AuthExternal pwauth GroupExternal unixgroup AuthName "Subversion repository" Require group users Require user myaccount /etc/pam.d/pwauth: auth required pam_succeed_if.so user=www-data account required pam_localuser.so config.h for pwauth: #define PAM /* Linux PAM or OpenPAM*/ […]
我想定制我的密码到期警告。 我想PAM是从某个地方读取的,但从哪里找不到。 这个问题与Ubuntu / Debian和Fedora / RHEL / CentOS相关。 PAM在哪里读取Warning: your password will expire in X days ? 谢谢!
我想validation一个用户名和密码对应一个有效的Unix帐户。 我使用的当前解决scheme期望等待密码提示,然后提供密码并查看login是否成功。 有一个内核API或用户空间函数可以validationlogin名/密码。 我想我的一部分困惑是我不确定这是否是内核空间服务?
我修改了/etc/pam.d/common-auth以在login失败或login成功时运行bash脚本,它在login尝试成功时用于成功login,但login尝试失败。 一旦我已经在服务器上,并尝试使用sudo这两个脚本将运行失败的身份validation和成功。 为什么login尝试失败时login-failed-notify.sh不会执行? 我将以下内容添加到默认的/etc/pam.d/common-auth文件中。 # here are the per-package modules (the "Primary" block) auth [success=2 default=ignore] pam_unix.so nullok_secure # here's the fallback if no module succeeds auth optional pam_exec.so seteuid /etc/ssh/failed-login-notify.sh auth requisite pam_deny.so auth optional pam_exec.so seteuid /etc/ssh/login-notify.sh # prime the stack with a positive return value if there isn't one already; # this […]
我无法将自己的大脑围绕Ubuntu 10.04中使用的新的pam.dconfiguration语法。 如何设置PAM,以便允许存储在我的LDAP数据库中的用户login。 我已经configuration了nscd,所以id <user>或getent passwd已经列出了我的LDAP用户,但是PAM不起作用,无论是正常的shelllogin还是su 。 更新2010年6月17日18:45 LDAP已经在工作。 我可以通过执行getent passwd来列出所有帐户,但是我的PAMconfiguration仍然不起作用。 下面的列表显示了我的/etc/pam.d/login # # The PAM configuration file for the Shadow `login' service # # Enforce a minimal delay in case of failure (in microseconds). # (Replaces the `FAIL_DELAY' setting from login.defs) # Note that other modules may require another minimal delay. (for example, # […]
我需要为特定用户设置一个例外,这样他的失败login不会被pam_tally2计算出来,而且这不是一个root帐户(我会使用magic_root )。 它可行吗?
我正在使用红帽6(用于testing目的)和configurationsamba与活动directory.red 6已成功join我的Windows Server 2003域。 通过input命令 [root@mainserver /] # net ads join -U Administrator Enter Administrator's password using short domain name – – PDC join 'MAINSERVER' to dns domain 'pdc.local' [root@mainserver /] # 通过这个命令 wbinfo -u 我可以看到在我的Windows Server 2003中创build的所有用户。 当我input命令 [root@mainserver /] # wbinfo -a test % password Enter test's password: plaintext password authentication succeeded Enter […]
我需要允许域用户(用户名和密码)访问Centos 7服务器以及本地用户(SSH密钥/无密码)。 我已经configuration了AllowUsers和AllowGroups的sshd_config,并假设如果我添加了本地用户应该工作。 但是,本地用户尝试login时出现错误: sshd[23906]: pam_sss(sshd:account): Access denied for user datahub_push: 10 (User not known to the underlying authentication module) sshd[23906]: fatal: Access denied for user datahub_push by PAM account configuration [preauth] 域用户工作得很好,并在sshd_config中的AllowGroups下有一个条目。 一些Googlesearch后,有一个build议,我需要修改: /etc/pam.d/sshd …但我不知道要改变什么,编辑该文件是否是最佳做法? 即应该使用authconfig工具。 任何帮助极大的赞赏。