我想改变我的SHA512阴影文件以使用bcrypt,如在这个问题/答案中所示: 启用基于blowfish的哈希支持crypt 问题是我碰到鸡和鸡蛋的问题,因为现有的阴影文件是SHA512encryption,这意味着sudo不能工作了,只要我编辑 /etc/pamd/common-password
我知道如何通过在/etc/pam.d/su添加相应的configuration行来为所有轮组用户启用su而无需密码。 我不想为所有车轮使用者启用此function,但仅限一个特定使用者。 我正在使用FreeBSD 8.1。 我该怎么做呢? 更新回应下面的评论 这是一个pfSense框。 底层操作系统是FreeBSD 8.1,但是像往常一样,pfSense缺less许多function,特别是整个端口集合。 我希望有一个特权用户(在wheel组中)能够调用su – 而不必键入root密码。 为所有使用PAM的车轮使用者启用此function非常简单。 我不知道正确的PAMconfiguration允许绕过一个特定用户的密码。 我受到公司政策的制约,我可以做多less改变。 这是一个运行,关键任务的机器,我不能冒这个意外地把它关掉。 我inheritance了这台机器的pipe理,但是对其configuration的彻底改变在目前是不可行或不允许的。 我有PAM; 我没有sudo。 我希望我做了,但是我没有。
我在这里有一个边缘案例。 我的学校有一个RHEL服务器,学生可以login并完成他们的工作。 帐户保存在LDAP中,服务器使用PAM和LDAP进行身份validation。 在学年结束时,我需要locking这台服务器上的学生帐户 – 即保持它们完好无损,但是防止用户login。我尝试了passwd -l和usermod -L ,但是在这两种情况下用户都可以仍然login。 有没有办法locking一个能与PAM LDAP一起使用的帐户?
许多教程告诉你像这样configuration你的ssh服务器: ChallengeResponseAuthentication no PasswordAuthentication no UsePAM no 但有了这个设置,你不能使用PAM,因为我打算使用Google身份validation器(OTP一次性密码)2因子authentication,我需要PAM。 所以如何configuration一个新鲜的debian jessie ssh deamon,如果我想阻止用正常密码login,但仍然允许使用PAM。 也许确切的问题是如何configuration帕姆不允许使用密码? PAMvalidation的详细信息 禁用基于PAM的密码authentication是相当不直观的。 几乎所有的GNU / Linux发行版(除了Slackware之外)都需要它,以及FreeBSD。 如果您不小心,可以将PasswordAuthentication设置为“no”,并通过PAM身份validation使用密码login。 事实certificate,您需要将“ChallengeResponseAuthentication”设置为“no”才能真正禁用PAMauthentication。 FreeBSD的手册页有这样的说法,这可能有助于澄清一些情况: 请注意,如果ChallengeResponseAuthentication为'yes',并且sshd的PAMauthentication策略包含pam_unix(8),则无论PasswordAuthentication的值如何,都将允许通过质询 – 响应机制进行密码authentication。 http://www.unixlore.net/articles/five-minutes-to-more-secure-ssh.html
我有一个连接到我的LDAP服务器的CoreOS服务器。 使用id和ldapsearch命令后,我得到了正确的答案。 不过,我仍然无法使用SSHlogin。 我可以在sssd_LDAP.log文件上看到服务器已经收到用户(my_user)login的请求,但请求被拒绝。 tail -f /var/log/sssd/sssd_LDAP.log (Sun Nov 13 15:06:29 2016) [sssd[be[LDAP]]] [acctinfo_callback] (0x0100): Request processed. Returned 0,0,Success (Success) (Sun Nov 13 15:06:49 2016) [sssd[be[LDAP]]] [be_get_account_info] (0x0200): Got request for [0x1003][FAST BE_REQ_INITGROUPS][1][name=etcd] (Sun Nov 13 15:06:49 2016) [sssd[be[LDAP]]] [sysdb_get_real_name] (0x0040): Cannot find user [etcd] in cache (Sun Nov 13 15:06:49 2016) [sssd[be[LDAP]]] [acctinfo_callback] (0x0100): […]
每分钟两次我在auth.log得到这个: May 12 15:21:01 ruptai CRON[25303]: pam_unix(cron:session): session opened for user root by (uid=0) May 12 15:21:01 ruptai CRON[25303]: pam_unix(cron:session): session closed for user root 这永远不会停止,每一分钟,每一分钟的两次。 我不知道这是什么,我只是想阻止它从毫无意义的日志logging这个东西。 这已经持续了很长时间,所以我不记得它何时开始。 操作系统是debian稳定的。 顺便说一句,我发现谷歌上的问题,但没有答案 更新: 在/etc/pam.d/还有四个名为common- *的文件,其他文件包含在其中。 共AUTH: auth required pam_unix.so md5 普通账户: account required pam_unix.so md5 常见的会话: session required pam_unix.so md5 常见的密码: password required pam_unix.so nullok obscure min=4 […]
CentOS 6,Parallels PLESK 10.4,Apache 我的一台服务器在周末倒了很多,令我沮丧。 在发生的date和时间,我的日志错误/消息以此结束 – 在/ var /日志/安全: Jul 29 03:53:15 u######## su: PAM adding faulty module: /lib64/security/pam_fprintd.so Jul 29 03:53:15 u######## su: pam_unix(su-l:session): session opened for user popuser by (uid=0) Jul 29 03:53:16 u######## su: pam_unix(su-l:session): session closed for user popuser Jul 29 03:53:16 u######## su: PAM unable to dlopen(/lib64/security/pam_fprintd.so): /lib64/security/pam_fprintd.so: cannot […]
我正在寻找一种使用存储在数据库(MongoDB)中的公钥来validation用户身份的方法。 类似的问题通常会导致build议安装一个修补版本的OpenSSH( https://github.com/wuputahllc/openssh-for-git ),这个版本可以通过一个db进行validation(GitHub使用OpenSSH的补丁版本)。 我看到有一个PAM模块通过MySQL进行身份validation,但是它假设用户名/密码身份validation。 我想知道是否可以使用某种PAM模块对服务器使用公钥进行身份validation。 编辑:我需要它的所有用户将通过'混帐'用户名连接的混帐服务器。 每个用户都没有特定的用户名。
我find了一篇文章( http://www.howtogeek.com/121650/how-to-secure-ssh-with-google-authenticators-two-factor-authentication/ ),解释了如何configurationOpenSSH以寻求Google Authenticator代码成功login。 是否可以configurationOpenSSH,以便发生以下情况: 如果用户有正确的私钥login到服务器,请将用户login。 如果用户没有允许login到服务器的私钥,请向用户提供该帐户的密码AND以获取Google身份validation器代码。 这将是方便的(因为在我的电脑上,我只需要私钥)和安全(因为我可以离开密码authentication启用和安全)。 有什么办法可以完成我想要的吗? 提前致谢。 🙂
我试图在CentOS主机系统上通过LDAP进行身份validation。 但是我总是得到一个无法联系来自pam_ldap的LDAP服务器错误。 LDAP服务器是可ping通的,身份validation与ldap://完美协同工作,但不能使用ldaps://。 它也可以在debian操作系统上使用ldaps://而不是在CentOS上。 我得到了无法与$ ldapsearch 联系错误…但我解决了它设置TLS_REQCERT允许在/etc/openldap/ldap.conf。 但是为/etc/pam_ldap.conf设置不起作用。 我做的步骤: $ yum install pam_ldap nss-pam-ldapd openldap-clients $ authconfig-tui并激活LDAP进行身份validation 修改/ etc / pam_ldap 修改/etc/nslcd.conf 修改/etc/openldap/ldap.conf 创build/etc/ldap/ldap.conf (在某处读取这是一个后退configuration文件path) 创build/etc/ldap.conf (与/etc/ldap/ldap.conf中的内容相同) 重新启动服务nscd和nslcd 一些更多的信息: 来自LDAP服务器的CA-Cert对每个人都是可读的。 iptables被禁用 另外令人困惑的是/ var / log / secure中的IP。 在那里它表示来自10.1.1.1的testuser的失败密码 ,但是configuration的用于LDAP服务器的IP是10.1.1.42并且主机IP是10.1.1.27。 无论如何,如果我使用uri ldap://10.1.1.42并且注释authentication行ssl就像一个魅力一样。 有任何想法吗? 。 尝试通过pam进行身份validation, / var / log / secure Sep 15 09:50:37 client-server unix_chkpwd[16146]: […]