我有一个设置为hu_HU.UTF-8的语言环境的debian服务器,如果我login槽控制台,它在匈牙利完美的作品。 它也与sshlogin一起工作,直到我在sshdconfiguration中禁用PAM。 从那时起,当我login槽ssh的语言环境设置为POSIX。 我试图评论sshd_config中的AcceptEnv LANG LC_*行,但问题仍然存在。 我使用UTF-8字符集与Putty连接。 那我该如何解决这个问题?
这是我第一次在这里找不到解决scheme。 所以希望能够解决。 我已经安装了一个新的,新的Ubuntu的最小系统(14.04)与SSH上。 之后,我安装了fail2ban。 我的ssh运行在47629端口 我的jail.conf: ignoreip = 127.0.0.1 10.14.11.165 bantime = 9999 findtime = 150 maxretry = 3 backend = auto usedns = warn destemail = [email protected] sendername = [email protected] mta = mail chain = INPUT action = %(action_mwl)s [ssh-iptables] enabled = true port = 47629 filter = sshd action = iptables[name=SSH, port=47629, protocol=tcp] […]
我正试图通过SSH实现Yubikey身份validation。 我编辑了我的/etc/pam.d/sshd文件,如下所示,它似乎工作在本地连接 ( ssh user@localhost ): #%PAM-1.0 auth required pam_yubico.so id=20682 authfile=/etc/yubikey_mappings debug trace auth required pam_sepermit.so auth substack password-auth auth include postlogin account required pam_nologin.so account include password-auth password include password-auth # pam_selinux.so close should be the first session rule session required pam_selinux.so close session required pam_loginuid.so # pam_selinux.so open should only be followed […]
我在这里有一台CentOS 6机器,并且希望为来自另一个森林的用户提供SSH访问,这是值得信赖的。 我得到了一个临时解决方法,即: 1)将/etc/pam.d/vncserver中的内容更改为 auth include password-auth 2)添加这两行/etc/pam.d/password-auth auth sufficient pam_krb5.so use_first_pass realm=NEW.DOMAIN.NET password sufficient pam_krb5.so use_authtok realm=NEW.DOMAIN.NET 所以看起来这样: %PAM-1.0 This file is auto-generated. User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_krb5.so use_first_pass auth […]
您好,我正在尝试设置SSSDauthentication到AD上的RHEL。 我能够用我的AD用户和密码login,并看到我的团队,当我运行id 。 但是,当我尝试使用sudo,它只是不断提示我的密码( Sorry, please try again )。 任何想法为什么? 我知道这不是sudoers文件,因为当我运行sudo -U myUser -l我see (root) ALL但是我可以su到root没有问题,我不会提示input密码。 我的假设是它与PAM有关。 pam.d /系统AUTH-AC auth required pam_env.so auth sufficient pam_localuser.so auth [success=done ignore=ignore default=die] pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_sss.so forward_pass auth sufficient pam_krb5.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account […]
我做了什么: 安装了libpam-ldapd 设置/etc/ldap/ldap.conf 设置/etc/ssh/ldap-keys.sh作为root:root 0755 ,确认它有效( /etc/ssh/ldap_keys.sh amadan从LDAP返回我的公钥)。 设置/etc/nsswitch.conf和shadow现在说compat ldap ,新行sudoers有ldap 。 设置/etc/ssh/sshd_config : AuthorizedKeysCommand指向上面的文件, AuthorizedKeysCommandUser为新创build的专用用户 设置/usr/share/pam-configs/mkhomedir ; 运行pam-auth-update 。 目前的情况是,当我尝试login时, AuthorizedKeysCommand ( /etc/ssh/ldap-keys.sh )永远不会运行。 我也不知道我的configuration的其余部分是否正确,但是我不能说sshd总是报告“无效的用户”: Oct 17 17:22:59 xxx sshd[86244]: Invalid user amadan from yyy Oct 17 17:22:59 xxx sshd[86244]: input_userauth_request: invalid user amadan [preauth] Oct 17 17:23:01 xxx sshd[86244]: Connection closed by yyy […]
我正在尝试启用Debian稳定服务器的AD身份validation,以使用户能够通过ssh进行身份validation和Windows ADlogin。 这一切工作正常,我可以ssh到服务器使用我的Windows凭据,但我已经注意到这个消息在远程SSHlogin作为rootlogin时: Your account has been locked. Please contact your System administrator Your account has been locked. Please contact your System administrator Your account has been locked. Please contact your System administrator Last login: Sat Jun 13 14:15:14 2009 from workstation1 server1:~# 我已经检查,如果我可以通过本地控制台以root身份login和哎呀,我不能。 同样的错误popup。 这可能会在未来痛苦地踢我。 在同一时间我已经尝试了RedfHat相同的设置,我没有这个问题。 我相信问题是在我的PAMconfiguration的某个地方,但无法看到哪里。错误的googling不让我在任何地方。 以下是Debian和redhat上相应的pam文件的详细信息。 Debian版本 共同账户 account sufficient pam_winbind.so require_membership_of=S-1-5-21-602162358-1844823847-725345543-XXXXXX […]
我configuration了一个服务器来支持OTP(使用opie)与SSH。 令我感到困扰的是,在做sudo的时候,即使是root也能得到OTP口令提示符。 我如何configurationPAM来抑制它? 没有看到本地 OTP的需要。 系统是Debian stable(lenny),安装了一些不稳定的/ backports(没有连接到PAM)。
我通过NSS使用冗余的OpenLDAP服务器对PAMvalidation和目录服务。 到目前为止,它一直是100%可靠的,但是永远没有完美的运行。 我现在应该采取哪些步骤,以便我有机会从LDAP服务器故障中恢复? 在我的非正式testing中,似乎甚至已经通过身份validation的shell在很大程度上是无用的,因为所有用户名/用户名查找都会挂起,直到目录服务器回来。 到目前为止,我只想出两件事: 不要在LDAP服务器上使用NSS-LDAP和PAM-LDAP。 在所有只接受来自本地子网的公钥authentication的盒子上创build一个根级帐户,并保护好密钥。 我不确定这样做会有多好,因为一旦我login了,我怀疑我将无法完成任何事情,因为所有的用户名查询都将被挂起。 还有其他build议吗?
我在CentOS 5.4服务器上的安全日志中收到了很多以下types的错误: crond[10445]: pam_loginuid(crond:session): set_loginuid failed opening loginuid sshd[10473]: pam_loginuid(sshd:session): set_loginuid failed opening loginuid 我在使用非标准内核时没有看到正确的CONFIG_AUDIT和CONFIG_AUDITSYSCALL选项的设置,我已经看到了这个问题的讨论。 在这种情况下,build议在pam.dconfiguration文件中注释掉一些行。 我正在运行一个虚拟专用服务器,我需要使用供应商提供的内核。 有没有办法找出他们用来configuration内核的选项? 我想validation以上是否是原因。 如果这不是原因,禁用crond和sshd的pam_loginuid有什么风险?