LINUX.ORG.RU

Выключи, если не знаешь зачем это.

И есть польза для локальной учетки настроить PAM?

Мне не было. Авторизацию по usb токену(по ключу) делал через pkcs11 прямо в ssh. Может, OTP бы прикрутил через PAM.

boowai ★★★★ ()
Ответ на: комментарий от troy777

вписать его в sshd конфиг обламывается и требует PAM

А теперь задай настоящий вопрос. А я пока спать пойду.

boowai ★★★★ ()

И есть польза для локальной учетки настроить PAM?

Очень зависит от того, ради чего всё это.

Вообще, я сомневаюсь, что тебе нужен PAM, поэтому опиши конечную цель.

Кто-нибудь настраивал PAM (Pluggable Authentication Modules) для локального пользователя в sshd.

Я настраивал. В чём конкретно вопрос?

mord0d ★★★★★ ()
Ответ на: комментарий от mord0d

Есть боевая тачка на ней установлен софт Expressway есть локальный пользователь. Но в в sshd_config указано что авторизация через PAM. Нужно к этому локальному пользователю коннектиться с помощью ssh.

troy777 ()
Ответ на: комментарий от troy777

Но в в sshd_config указано что авторизация через PAM.

Сомневаюсь, что Expressway требует PAM напрямую, но если с ним идёт модуль PAM, то надо обращаться к документации к этому модулю.

Но если нет, то особого смысла не вижу — по ssh авторизации по ключу более чем достаточно.

Если в sshd_config включено PAM, то sshd передаёт креды в PAM, и дальше PAM работает по конфигу /etc/pam.d/sshd.

Нужно к этому локальному пользователю коннектиться с помощью ssh.

Авторизация по ключу. Если после авторизации по ключу требует дополнительно ввести пароль пользователя, значит sshd настроен некорректно, и/или в /etc/pam.d/sshd мейнтейнер/админ накосячил.

---

Что конкретно ты хочешь настроить в PAM? Если какой-то модуль, не входящий в базовую поставку, то тебе в любом случае придётся курить документацию по этому модулю.

Чтобы шатать дефолт, идущий с ОС, нужно знать что ты делаешь и чего хочешь добиться (и понимать, почему этого не сделано было изначально). Судя по изложенному тобой, дефолт тебе трогать не нужно (можно себе так яйца отстрелить).

Ну и наконец, если нет острой необходимости в PAM, его в sshd_config можно отключить, никаких последствий не будет (могут быть только в очень редких случаях).

mord0d ★★★★★ ()
Ответ на: комментарий от troy777

Так в чем проблема-то?

Или ты думаешь, что если в sshd_config указано использовать PAM, то нельзя коннектиться локальным пользователем по ssh? Ты ошибаешься.

bigbit ★★★★★ ()
Ответ на: комментарий от troy777

Т.к. классический метод вписать его в sshd конфиг обламывается и требует PAM

Так-так, отсюда поподробнее.
Что за классический метод такой и что ты собрался вписывать в sshd_config?

bigbit ★★★★★ ()
Последнее исправление: bigbit (всего исправлений: 1)
Ответ на: комментарий от mord0d

Задача очень простая предоставить доступ по ssh к локальному пользователю. Пароль имеется. Но не могу приконнектиться. В /etc/passwd у этого пользователя стоит /bin/false Если я уберу метку false сломается при этом юзер в Expressway в веб морде? Т.к. выше ты сказал (можно себе так яйца отстрелить).

troy777 ()
Ответ на: комментарий от bigbit

Прописывал учетку в sshd.conf и включал вход по паролю, но все равно получал пермишн денайд.

troy777 ()
Ответ на: комментарий от troy777

Нужно не просто «снять false», а заменить его на валидный шелл. Например, на /bin/bash.
Если сделаешь правильно через vipw, то с точки зрения ОС ничего не сломается, просто пользователь сможет заходить по SSH.

Если Expressway не делает проверки, что у пользователя обязательно должен быть установлен /bin/false, то не сломается. Если делает - то сломается.

bigbit ★★★★★ ()
Ответ на: комментарий от troy777

Вариантов - масса:

  1. Попробовать
  2. Обратиться в техподдержку приложения Expressway с данным вопросом
  3. Покопаться в потрохах приложения Expressway самому
bigbit ★★★★★ ()
Ответ на: комментарий от troy777

Задача очень простая предоставить доступ по ssh к локальному пользователю.

Пароль имеется. Но не могу приконнектиться.

В /etc/passwd у этого пользователя стоит /bin/false

Тогда трогать PAM вообще не нужно.

Если я уберу метку false сломается при этом юзер в Expressway в веб морде?

Зачем вообще логиниться в этого пользователя? Вероятность что-то сломать руками от этого пользователя гораздо выше, чем из веб-морды.

Т.к. выше ты сказал (можно себе так яйца отстрелить).

А возможность залогиниться от этого пользователя по ssh добавляет дополнительную дырку, в которую можно в извращённой форме чуть ли не всю сеть. Особенно по паролю.

Без опыта можно себе яйца отстрелить чуть ли не на ровном месте. А опыта без наступания на грабли не наберёшься. Вот такая рекурсия.

mord0d ★★★★★ ()
Ограничение на отправку комментариев: только для зарегистрированных пользователей