对不起,因为我确定问题是愚蠢的,但两天后尝试不同的configuration从谷歌和Serverfault它仍然无法正常工作。 我在后缀/鸽舍新手 升级Debian之后,我configuration了(第一次)Dovecot的Postfix。 Pop3现在工作正常,但Imap不(login失败) main.cf # See /usr/share/postfix/main.cf.dist for a commented, more complete version # Debian specific: Specifying a file name will cause the first # line of that file to be used as the name. The Debian default # is /etc/mailname. #myorigin = /etc/mailname smtpd_banner = $myhostname ESMTP $mail_name biff = no # appending […]
目标 对于移动设备,我们希望通过在sshlogin时要求PIN码来增加额外的安全层。 移动访问只是一个便利的服务(用户可以随时取出笔记本电脑),并且在PIN码三次尝试(pipe理员可以解锁一个账户)后,账户应该永久locking。 pipe理员将在解锁时生成一个随机的新PIN。 方法 为了在公钥authentication之后提示input密码,我在/etc/ssh/sshd_config添加了以下内容: Match Group RequireSSHPassword AuthenticationMethods publickey,password 除了公钥authentication之外,RequireSSHPassword组中的任何用户都将被要求input密码。 UsePAM在configuration文件中设置为yes 。 尝试添加到Match结果sshd无法启动(“指令”UsePAM“不允许在一个匹配块”)。 对于locking,PAM模块pam_tally2似乎是要走的路。 这是失败的工作。 根据超级用户的这个问题 ,我在/etc/pam.d/common-password添加了以下几行: auth required pam_tally2.so file=/var/log/tallylog deny=3 onerr=fail account required pam_tally2.so 我也尝试添加只有auth行,或者添加一个或两个到/etc/pam.d/sshd ,或者添加account行到/etc/pam.d/common-account ,或者洗牌行的顺序,所有无济于事。 环境是Debian Stretch(testing)。 尝试使用不正确的密码login时,不会创build/var/log/tallylog文件。 在使用命令pam_tally2 –user=test ,文件被创build并且是空的。 在使用命令pam_tally2 –user=test –reset=3 ,文件被64K二进制数据填充。 使用pam_tally2 –user=test现在显示3次没有源的失败尝试(如预期的那样)。 当帐号设置为3(因此用户应该被locking)而尝试login时,我不能。 没有给出错误,它只是说login尝试失败(就像我使用了一个无效的密码)。 所以它实际上似乎工作。 但是,在将计数器重设为0时,我可以用错误的密码进行3次尝试,并在第4次尝试时仍然login。 使用pam_tally2 –user=test ,即使我尝试使用不正确的密码,然后closuresssh连接,失败次数仍为0。 当我手动更新计数器计数器时,限制似乎有效,但是如果我正确解释事件,计数器计数器不会更新。 在/var/log/auth.log我可以看到失败的用户login尝试。 在所有testing中, auth.log有两条消息来自计数器: Mar […]
我试图在Ubuntu 16.04上为我的OpenVPN安装设置使用Google身份validation器的MFA。 现在OpenVPN的工作正常,直到我把谷歌身份validation器混合。 我的server.conf文件如下所示: port 1194 proto udp dev tun ca ca.crt cert server.crt key server.key dh dh2048.pem server 10.0.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "redirect-gateway def1 bypass-dhcp" client-to-client keepalive 10 120 tls-auth ta.key 0 key-direction 0 cipher AES-128-CBC auth SHA256 comp-lzo user nobody group nogroup persist-key persist-tun status openvpn-status.log log-append openvpn.log verb 3 plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so […]
我build立了PAM链接到一个openldap,我希望所有的authentificated用户能够使用sudo。 我以为我可以在名为sudoersgroup的ldap中创build一个posix组,然后在/etc/sudoers写入一个规则: %sudoersgroup ALL=(ALL:ALL) ALL 但是当我执行“id”命令,会员不会出现,我唯一的会员是gidNumber之一。 我错过了什么? 我可以通过pam_group添加它们吗? (我找不到如何正确使用这个模块)
所以我正在努力完成一些事情,我不能完全理解。 我试图限制login尝试3(通过SSH,terminal或GUI,3次失败后,我想locking帐户1小时。 我有两个testing帐户在更改之前正常工作: user1 is an ldap account , user2 is a local account with a set password 在对rhel站点上build议的system-auth和password-auth进行更改后,我根本无法login。 幸运的是,我没有修改root帐户,我仍然可以访问系统,但是我没能find出错的地方。 system-auth和password-auth都是一样的,这是我的configuration: auth required pam_env.so auth required pam_faillock.so preauth silent deny=3 unlock_time=3600 fail_interval=900 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail deny=3 unlock_time=3600 fail_interval=900 auth sufficient pam_faillock.so authsucc audit deny=3 auth requisite pam_succeed_if.so uid >= […]
有没有办法,我也可以先检查passwd文件? 目前,nsswitch.conf先说文件。 但是,当我尝试以root用户身份login到盒子时,它一直挂起,直到我取下networking电缆。 这是直接login到控制台,所以这是一个反向的SSH查找或类似的东西。 也许帕姆有什么东西?
我设法安装了SSH + LDAP,而且我通过pam_groupdn来validation用户 – 如果用户在适当的组中,他可以login到服务器。 这是我的pam.d的一部分 account sufficient pam_ldap.so account sufficient pam_unix.so 是pam_ldap.conf的一部分 # Group to enforce membership of pam_groupdn cn=ldapclient,ou=group,dc=aaaa,dc=zzzz # Group member attribute pam_member_attribute memberUid 如果我禁用pam_unix.so一切都会好起来的。 如果他不在组中,用户将被拒绝。 但是我不能禁用pam_unix.so,因为如果LDAP服务器处于脱机状态,那么即使在本地login也会遇到严重的问题。 如果启用了pam_unix.so: gigi@0's password: You must be a memberUid of cn=ldapclient,ou=group,dc=aaaa,dc=zzzz to login. Linux testing 2.6.26-2-686 #1 SMP Thu Sep 16 19:35:51 UTC 2010 i686 …. […]
我想要一个方法(PAM模块?)来validation本地Unix用户,方法是在用户名中添加@ domain.tld,并用密码对IMAP服务器进行尝试。 通过这种方式,我们可以为使用我们的Google Apps帐户拥有电子邮件地址的人员在我们的Unix邮箱中进行validation 如果用户不在本地(即adduser从未被调用过),我想要创build用户(也许使用libpam-mklocaluser?) 有没有办法做到这一点?
这里的目标是创build一个脚本来轻松pipe理机器的预留。 当用户预约机器时,它应该是唯一能够在给定时间访问机器的人(当然除了pipe理员)。 我已经find了PAM的解决scheme。 /etc/pam.d/sshd这一行将解决我的问题: auth required pam_listfile.so item=user sense=allow file=/etc/ssh/sshd.allow onerr=fail 用户login/etc/ssh/sshd.allow 但它根本不起作用: $ cat /etc/ssh/sshd.allow foo $ tail -f /var/log/auth.log Dec 1 12:12:05 mini sshd[2697]: Accepted publickey for bar from 192.168.0.11 port 58087 ssh2 Dec 1 12:12:05 mini sshd[2697]: pam_unix(sshd:session): session opened for user bar by (uid=0) 这里是/etc/pam.d/sshd文件 # PAM configuration for the Secure […]
我正在运行FTP守护进程VSFTPD。 我想通过将用户添加到组来控制FTP访问,以使只有定义组的成员才能访问FTP服务。 我想我可以通过修改/etc/pam.d/vsftpd来做到这一点,但不知道如何开始。 或者这只适用于VSFTPD中的虚拟用户? 我知道user_list,这似乎并不支持组。 这不提供我正在寻找的function,这是上面描述的。 如果我错了,虽然这会很好。