Настройка PAM

Выключи, если не знаешь зачем это.

И есть польза для локальной учетки настроить PAM?

Мне не было. Авторизацию по usb токену(по ключу) делал через pkcs11 прямо в ssh. Может, OTP бы прикрутил через PAM.

Зачем выключать?? Мне нужно его настроить. Т.к. классический метод вписать его в sshd конфиг обламывается и требует PAM

вписать его в sshd конфиг обламывается и требует PAM

А теперь задай настоящий вопрос. А я пока спать пойду.

И есть польза для локальной учетки настроить PAM?

Очень зависит от того, ради чего всё это.

Вообще, я сомневаюсь, что тебе нужен PAM, поэтому опиши конечную цель.

Кто-нибудь настраивал PAM (Pluggable Authentication Modules) для локального пользователя в sshd.

Я настраивал. В чём конкретно вопрос?

Есть боевая тачка на ней установлен софт Expressway есть локальный пользователь. Но в в sshd_config указано что авторизация через PAM. Нужно к этому локальному пользователю коннектиться с помощью ssh.

Но в в sshd_config указано что авторизация через PAM.

Сомневаюсь, что Expressway требует PAM напрямую, но если с ним идёт модуль PAM, то надо обращаться к документации к этому модулю.

Но если нет, то особого смысла не вижу — по ssh авторизации по ключу более чем достаточно.

Если в sshd_config включено PAM, то sshd передаёт креды в PAM, и дальше PAM работает по конфигу /etc/pam.d/sshd.

Нужно к этому локальному пользователю коннектиться с помощью ssh.

Авторизация по ключу. Если после авторизации по ключу требует дополнительно ввести пароль пользователя, значит sshd настроен некорректно, и/или в /etc/pam.d/sshd мейнтейнер/админ накосячил.

---

Что конкретно ты хочешь настроить в PAM? Если какой-то модуль, не входящий в базовую поставку, то тебе в любом случае придётся курить документацию по этому модулю.

Чтобы шатать дефолт, идущий с ОС, нужно знать что ты делаешь и чего хочешь добиться (и понимать, почему этого не сделано было изначально). Судя по изложенному тобой, дефолт тебе трогать не нужно (можно себе так яйца отстрелить).

Ну и наконец, если нет острой необходимости в PAM, его в sshd_config можно отключить, никаких последствий не будет (могут быть только в очень редких случаях).

Так в чем проблема-то?

Или ты думаешь, что если в sshd_config указано использовать PAM, то нельзя коннектиться локальным пользователем по ssh? Ты ошибаешься.

Т.к. классический метод вписать его в sshd конфиг обламывается и требует PAM

Так-так, отсюда поподробнее.
Что за классический метод такой и что ты собрался вписывать в sshd_config?

Задача очень простая предоставить доступ по ssh к локальному пользователю. Пароль имеется. Но не могу приконнектиться. В /etc/passwd у этого пользователя стоит /bin/false Если я уберу метку false сломается при этом юзер в Expressway в веб морде? Т.к. выше ты сказал (можно себе так яйца отстрелить).

Прописывал учетку в sshd.conf и включал вход по паролю, но все равно получал пермишн денайд.

Ты не можешь законнектиться именно потому, что в /etc/passwd стоит /bin/false.

А PAM тут вообще ни при чем.

Хорошо если я сниму false, то при этом пользователь не сломается в веб морде Expressway c тем же паролем?

Нужно не просто «снять false», а заменить его на валидный шелл. Например, на /bin/bash.
Если сделаешь правильно через vipw, то с точки зрения ОС ничего не сломается, просто пользователь сможет заходить по SSH.

Если Expressway не делает проверки, что у пользователя обязательно должен быть установлен /bin/false, то не сломается. Если делает - то сломается.

А как узнать делает проверку Expressway или нет? Заранее Спасибо за ответ 🙏

Вариантов - масса:

1. Попробовать
2. Обратиться в техподдержку приложения Expressway с данным вопросом
3. Покопаться в потрохах приложения Expressway самому

Задача очень простая предоставить доступ по ssh к локальному пользователю.

Пароль имеется. Но не могу приконнектиться.

В /etc/passwd у этого пользователя стоит /bin/false

Тогда трогать PAM вообще не нужно.

Если я уберу метку false сломается при этом юзер в Expressway в веб морде?

Зачем вообще логиниться в этого пользователя? Вероятность что-то сломать руками от этого пользователя гораздо выше, чем из веб-морды.

Т.к. выше ты сказал (можно себе так яйца отстрелить).

А возможность залогиниться от этого пользователя по ssh добавляет дополнительную дырку, в которую можно в извращённой форме чуть ли не всю сеть. Особенно по паролю.

Без опыта можно себе яйца отстрелить чуть ли не на ровном месте. А опыта без наступания на грабли не наберёшься. Вот такая рекурсия.