タグ付けされた質問 「pam」

パスワードに関する奇妙な（私によると）ことに気づきました。たとえば、ログイン中に間違ったパスワードを入力した場合、システムから通知されるまで数秒の遅延が発生します。sudo間違ったパスワードを使用しようとすると、シェルが「Sorry、try again」と言うまで待つ必要があります。 なぜ間違ったパスワードを「認識する」のにそんなに時間がかかるのだろうか？これは私が使用しているいくつかのディストリビューション（およびOSXでも）で見られているため、ディストリビューション固有のものではないと思います。

89 security  password  authentication  pam 

martinユーザーmartin-testがパスワードなしでユーザーに切り替えられるようにする必要がある su - martin-test これはで設定できると思います/etc/pam.d/su。このファイルにはコメントを解除できる行が既にいくつかあります。ただし、martinグループにユーザーを追加するというアイデアは好きではありませんwheel。にmartin切り替えることができるよりも多くの特権を与えたくありませんmartin-test。私も使用したくないsudo。 ユーザーの特権をmartin最小限に抑えながら、それを行う最善の方法は何でしょうか？

51 users  password  authentication  pam 

ログインプロンプトで間違ったパスワードを入力した後、約3秒の遅延があります。PAMを搭載したLinuxシステムでこれを変更するにはどうすればよいですか？

32 login  pam  hardening 

sshを使用して初めてログインするときに、新しく作成したユーザーにパスワードの変更を強制しようとしています。セキュリティ上の理由から、私は彼が初めてログインするまで彼に安全なパスワードを与えたいです。これまでに次のことを行いました。 useradd -s /bin/bash -m -d /home/foo foo passwd foo 実行chage -d 0 fooすると、Your account has expired; please contact your system administratorsshログインのエラーのみが表示されます。

28 linux  bash  ssh  login  pam 

私はネットワーク化された環境を管理していますが、昨日興味深い状況が発生しました。ホストが通常のユーザーによってシャットダウンする必要がある場合、他のユーザーがローカルにログインしている場合はシャットダウンを拒否します。ただし、これは他のユーザーがSSH経由でログインしている場合には当てはまりません。1人のユーザーがローカルでログインし、1人のユーザーがSSH経由でログインし、ローカルでログインしたユーザーがシャットダウンを試みても警告なしで成功し、他のユーザーのSSH接続は突然終了します。私の質問は、ローカルユーザーに対するポリシーのようにこれを防ぐ方法はありますか？私はすでにマニュアルページを見て、sshd_config関連していると思われるものを見つけることができませんでした。 編集（追加情報）： ネットワークには、Mandriva 2009、Mandriva 2010.2、Mandriva 2011、Ubuntu 11.04の4つのOSがあります。私が言及している特定のケースでは、Mandriva 2009ホスト上のSSHユーザーとMandriva 2011ホスト上のローカルユーザーがいました。 Mandriva 2009ホストはGNOME 2.28環境を使用し、2010.2ホストはGNOME 2.32を使用し、2011ホストはKDE Plasmaを使用し、Ubuntu 11.04ホストはUnityを使用します。 更新 私が述べたように、この質問、私はに見ているpolkitの下でアクション/usr/share/polkit-1/actions/（ファイル内に見つかったorg.freedesktop.consolekit.policy）と呼ばれるアクションorg.freedesktop.consolekit.system.stop-multiple-usersメッセージをスローします System policy prevents stopping the system when other users are logged in org.freedesktop.*これは、D-BUSを介してDMに送信される何らかの信号であると（命名規則により）考えています。このpolkitアクションをトリガーする信号を見つけることができれば、その動作を変更できるはずです。何か案は？ 更新2 今日は少し実験してみましたが、非常に奇妙な結果になりました。SSH経由で1つのボックスにログインしてみて、他のユーザーがVTにログインしていないことを確認しました。ShutdownGDMの「アクション」メニューから選択すると、他のユーザーがログインしているので認証なしではできないことを通知する待望のポリシーメッセージが表示されます。ただし、GDMを使用してローカルにログインして選択した場合GNOMEのメニューからボックスをシャットダウンするには、以前と同様にSSHセッションが上書きされます。これはどのように可能ですか？shutdownGDMからリクエストを開始するときと、a 内からリクエストを開始するときの動作は異なりgnome-sessionますか？それは私に問題を解決するのを助けることができる何かを誰かに伝えますか？

20 ubuntu  ssh  shutdown  pam  mandriva 

RHEL 5.5ではデフォルトで [deuberger@saleen trunk]$ sudo cat /etc/securetty console vc/1 vc/2 vc/3 vc/4 vc/5 vc/6 vc/7 vc/8 vc/9 vc/10 vc/11 tty1 tty2 tty3 tty4 tty5 tty6 tty7 tty8 tty9 tty10 tty11 各エントリタイプ（コンソール、vc / 、およびtty）の違いは何ですか。具体的には、各エントリタイプの追加と削除の最終結果は何ですか？ 私の理解では、ログイン方法とタイミングに影響を及ぼしますが、他の影響はありますか？また、どのエントリが存在するかに応じて、いつログインできますか？ 編集1 私が知っていることは、tty 1-6は、CTRL-ALT-F1からCTRL-ALT-F6を使用して到達する最初の6つのコンソールからログインできるかどうかに対応するということです。私はいつもそれらが仮想コンソールだと思っていたので、少し混乱しています。コンソールも何に対応していますか？ありがとう。 編集2 シングルユーザーモードである場合の影響は何ですか？

19 linux  security  rhel  login  pam 

env変数を追加しています/etc/environmentが、変数値に＃記号が含まれているため、文字列がストライプされます。 MYSQL_PWD="something#no" 今、env上記のコードを実行すると、yieldsになりMYSQL_PWD=somethingます。ハッシュをエスケープするにはどうすればよいですか？私はすでに\キャラクターを試しました。

17 environment-variables  login  pam 

環境を監視するためにZabbixを使用しておりzabbix_agentd、ユーザーとしてzabbix60秒ごとに1つのカスタムスクリプトを実行しています。sudoこのスクリプトをとして実行するために使用しますroot。 では/var/log/auth.logI 60秒ごとを参照してください。 Aug 11 17:40:32 my-server sudo: pam_unix(sudo:session): session opened for user root by (uid=0) Aug 11 17:40:32 my-server sudo: pam_unix(sudo:session): session closed for user root このメッセージがログをあふれさせないようにします。/etc/pam.d/sudoファイルの直前に、次の行を追加しましたsession required pam_unix.so。 session [success=1 default=ignore] pam_succeed_if.so service in sudo quiet uid = 0 そしてメッセージは消えました。 しかし、問題は、このようにして、誰かがsudoasでスクリプトを実行しているときにすべてのPAMメッセージを抑制していることrootです。 ユーザーzabbix（他のすべてのユーザーではない）に対してのみメッセージを停止したい。ユーザーが特権でスクリプトを実行したいsudoことを知っていzabbixますが、rootPAMにそれを伝える方法はありますか？使用時に特定のユーザーのログを記録しないようにPAMに指示するにはどうすればよいsudoですか？ 注：syslogでメッセージをフィルタリングしてみました。これは機能しますが、上記と同じ問題があります。つまり、ログメッセージはルートになっているユーザーを示していないため、無差別すぎるということです。

16 sudo  logs  authentication  pam 

ユーザーをLDAPに保存し、異なるシステム間で意味を持ついくつかのグループ（組織ロールを含むwheel）を保存します。ワークステーションにローカルなグループもあります。たとえばaudio、videoLDAPに入れることは望ましくありません。ローカルにログインすると、それらのローカルグループが取得されますが、SSHを介して同じマシンにログインすると、それらが不足します。suすぐに使用すると、もちろん戻ってきます。私は間違った方向に進んでいるかもしれませんが、PAMを疑っています。 からの関連エントリ nsswitch.conf passwd: compat ldap shadow: compat ldap group: compat ldap PAMに関しては、常にauth行ですが、他の行は同じです /etc/pam.d/sshd auth include system-remote-login /etc/pam.d/system-remote-login（system-local-login私が追加する可能性があるのと同じ） auth include system-login /etc/pam.d/system-login auth required pam_tally2.so onerr=succeed auth required pam_shells.so auth required pam_nologin.so auth include system-auth auth optional pam_gnome_keyring.so account required pam_access.so account required pam_nologin.so account include system-auth account required pam_tally2.so …

14 ssh  group  authentication  pam  ldap 

XDG_RUNTIME_DIRsystemctl --user働くために必要です。 systemdユーザーセッションを実行するために、ubuntuサーバー16.04をセットアップしました。さて、それらを管理しようとすると、sudo -u $user -iまたはを介してユーザーを変更するsu - $userと、環境がXDG_RUNTIME_DIR設定されず、動作しなくなることがわかりsystemctl --userました。ただし、sshそのユーザーに直接アクセスすると、正しく設定されます。 ドキュメントを正しく理解していればlibpam-systemd、ユーザーセッションの作成時に設定する必要があります。XDG_RUNTIME_DIRpoint（/run/users/$uid）を指定するディレクトリが存在するため、ユーザースライスは正しく開始されます。たとえば、.bash_profileでハードコードするのはためらいます。なぜなら、PAMがそれを処理する必要があるとき、それは（動作しているとしても）ハッキーだと思われるからです。 もちろん、in に追加XDG_RUNTIME_DIRすることもできますが、それはsudoingユーザーの環境を維持するだけで、それは私が望んでいるものではありません。私がしたいターゲットユーザーの環境を。env_keepsudoers しかし、私が本当に不思議に思っているのは、どうしてセッションがで正しく設定されsshているのsuか、ではなく、またはであるのsudo -iか？

14 ssh  systemd  sudo  pam 

私はPAMを勉強していますが、コントロールフラグの組み合わせの意味については少しわかりません。Red Hatのドキュメントから次のことがわかります。 そのようなPAMの必要な障害は、最終的にPAM-APIが障害を返すことにつながりますが、（このサービスとタイプの）スタックされた残りのモジュールが呼び出された後でのみです。 必要な 必須のような、しかし、そのようなモジュールが失敗を返した場合には、制御は直接アプリケーションに戻されます。 そのようなモジュールの十分な成功は、モジュールのスタックの認証要件を満たすのに十分です（以前に必要なモジュールが失敗した場合、このモジュールの成功は無視されます）。このモジュールの障害は、このタイプが成功したというアプリケーションを満たすために致命的とは見なされません。モジュールが成功すると、PAMフレームワークは他のモジュールを試行せずにすぐにアプリケーションに成功を返します。 したがって、私の理解では、モジュールにrequisite障害が発生した場合、モジュールのスタック全体は解析されず、コントロールはすぐにアプリケーションに戻ります。モジュールsufficientが成功した場合、残りのモジュールスタックは解析されず、コントロールはすぐにアプリケーションに戻ります。モジュールにrequired障害が発生すると、スタック全体が解析されます。 現在、特定のモジュールrequiredが失敗し、別のモジュールsufficientが成功した場合の動作を理解できません。

14 authentication  pam 

Fedora 16を使用して、実証済みのvsftpd構成を新しいサーバーに移動すると、問題が発生しました。すべてが正常に実行されるように見えますが、ユーザー認証は失敗します。ログに何が起こったのかを示すエントリが見つかりません。 完全な設定ファイルは次のとおりです。 anonymous_enable=NO local_enable=YES write_enable=YES local_umask=022 dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES xferlog_file=/var/log/vsftpd.log xferlog_std_format=YES idle_session_timeout=0 data_connection_timeout=0 nopriv_user=ftpsecure connect_from_port_20=YES listen=YES chroot_local_user=YES chroot_list_enable=NO ls_recurse_enable=YES listen_ipv6=NO pam_service_name=vsftpd userlist_enable=YES tcp_wrappers=YES FTPがユーザー名とパスワードの入力を求めてきたので、それらを入力しました。ログインが間違っています。確認しましたが、このユーザーはsshからログインできます。何かが台無しにされていpam_serviceます。 匿名（許可に変更した場合）はうまく機能するようです。 SELinuxは無効です。 Ftpsecureは正常に構成されているように見えます...完全に紛失しています！ 以下は、成功せずに調べたログファイルです。 /var/log/messages /var/log/xferlog #empty /var/log/vsftpd.log #empty /var/log/secure で見つけたもの/var/log/audit/audit.log： type=USER_AUTH msg=audit(1335632253.332:18486): user pid=19528 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication acct="kate" exe="/usr/sbin/vsftpd" hostname=ip68-5-219-23.oc.oc.cox.net addr=68.5.219.23 terminal=ftp res=failed' …

13 security  ftp  authentication  pam 

SLES 11マシンがあります。ユーザーはSSHとpubkeyを介してログインします（混合、一部のユーザーはパスワードを使用、一部はsshキーを使用） sshd_configには以下が含まれます。 UsePAM yes PasswordAuthentication yes PubkeyAuthentication yes 問題：pubkeyログインを使用するユーザーのパスワードが期限切れになると、ユーザーはパスワードを変更するように求められます。 質問：ユーザーが有効なSSHキーを持ち、パスワードの有効期限が切れている場合にユーザーがログインできるように、PAMまたはsshd構成を設定するにはどうすればよいですか？- 「パスワードの変更」をポップアップせずに。 更新＃1：ソリューションは次のようにはなりません： "UsePAM no" SERVER:~ # cat /etc/pam.d/sshd #%PAM-1.0 auth requisite pam_nologin.so auth include common-auth account requisite pam_nologin.so account include common-account password include common-password session required pam_loginuid.so session include common-session SERVER:~ # 更新＃2：解決策はできません：ユーザーのパスワードを無期限に設定する アップデート＃3： SERVER:/etc/pam.d # cat common-account #%PAM-1.0 …

12 ssh  users  password  pam 

ログインに5回失敗した後にユーザーをロックする方法は？ それを行う方法のディストリビューション/バージョンをいくつか集めましたが、テストできません。 RHEL4：以下を追加します： auth required /lib/security/$ISA/pam_tally.so no_magic_root account required /lib/security/$ISA/pam_tally.so deny=5 reset no_magic_root に： /etc/pam.d/system-auth /etc/pam.d/login /etc/pam.d/sshd RHEL4：??? SLES9：以下を追加します： auth required pam_tally.so no_magic_root account required pam_tally.so deny=5 reset no_magic_root に： /etc/pam.d/login /etc/pam.d/sshd SLES11またはSLES10：以下を追加する： auth required pam_tally.so deny=5 onerr=fail per_user no_lock_time に： /etc/pam.d/common-auth さらに、次を追加します： account required pam_tally.so に： /etc/pam.d/common-account 質問：ログインが5回失敗した後、これがユーザーをロックする有効な方法であることを誰かが確認できますか？またはこれを行う方法？ PS： …

12 password  pam  lock 

問題 この質問は10億回も寄せられたようですが、ログインキーリングのロックを自動的に解除することはできません。 バックグラウンド これらの行に沿って自動的にログイン、chvt、startx をi3wmに実行すると、変更されたi3lockが起動します。ログインしたとき（またはおそらくi3lockのロックを解除したとき）にgnomeのログインキーリングが自動的にロック解除されるようにしたいのですが、オンラインで見つけたどの手順も正常に実装できませんでした。 調査結果 アーチウィキは、私が試みたが、やることができなかったこのことについて全体のことがあります。私はまた、同様の指示が役に立たない他のさまざまな質問/回答を見回しました。 私が気付いた奇妙なことの1つは、を介してログインキーリングのロックを解除できないことですecho $LOGINPASSWORD | gnome-keyring-daemon --unlock。journalctl報告書 Jul 07 20:08:16 ERIS gnome-keyring-daemon[26585]: failed to unlock login keyring on startup タツノオトシゴを開いて手動でロックを解除すると、ログインパスワードが変更されたことが報告され、古いパスワードの入力を求められます。journalctlレポート Jul 07 20:08:43 ERIS gnome-keyring-daemon[26585]: fixed login keyring password to match login password その上で、パスワードでキーリングのロックを再度解除することができません（幸い、事前にバックアップを作成しました）。 追加情報 ここにいくつかの関連/etc/pam.d/ファイルがありますが、ここでは機密性の高いものはないはずですLOL（簡潔にするためにコメントを削除し、順序は変更していません。この.xinitrcビットも試しましたが、何もしなかったことに注意してください）。/etc/pam.d/i3lockにpam_gnome_keyring.soあるものを除いて、手動で追加したのはビットだけです。デフォルトでは、または他のパッケージのために、すでに他に何かがありました。 /etc/pam.d/login auth optional pam_faildelay.so delay=3000000 auth [success=ok new_authtok_reqd=ok ignore=ignore …

11 ubuntu  systemd  pam  i3  gnome-keyring