1 |
Tach auch! |
2 |
|
3 |
Auf einem Gentoo Linux System versuche ich mit pam_listfile.so einzugrenzen, |
4 |
wer sich einloggen darf. Bei netkit-telnet funktioniert das auch - bei |
5 |
OpenSSH OpenSSH_4.3p1-hpn aber leider nicht :( |
6 |
|
7 |
In der /etc/pam.d/sshd steht geschrieben: |
8 |
|
9 |
#%PAM-1.0 |
10 |
|
11 |
auth include system-auth |
12 |
auth required pam_shells.so |
13 |
auth required pam_nologin.so |
14 |
account include system-auth |
15 |
password include system-auth |
16 |
session include system-auth |
17 |
|
18 |
|
19 |
In der /etc/pam.d/system-auth habe ich: |
20 |
|
21 |
#%PAM-1.0 |
22 |
|
23 |
auth required pam_env.so |
24 |
|
25 |
auth required pam_listfile.so item=user sense=deny file=/etc/security/system-auth.deny onerr=fail |
26 |
|
27 |
auth sufficient pam_unix.so likeauth nullok |
28 |
auth required pam_deny.so |
29 |
|
30 |
account required pam_unix.so |
31 |
|
32 |
password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3 |
33 |
password sufficient pam_unix.so nullok md5 shadow use_authtok |
34 |
password required pam_deny.so |
35 |
|
36 |
session required pam_limits.so |
37 |
session required pam_unix.so |
38 |
|
39 |
Bei netkit-telnetd führt das dazu, das die User die in |
40 |
/etc/security/system-auth.deny gelisted sind, sich nicht |
41 |
einloggen können. Im syslog erscheint dann auch eine |
42 |
dementsprechende Meldung: |
43 |
|
44 |
Mar 1 14:30:13 dewuga01 login[3815]: PAM-listfile: Refused user vz6tml for service login |
45 |
|
46 |
Das bedeutet für mich, das PAM von telnet (gestartet über xinetd) |
47 |
benutzt wurde. |
48 |
|
49 |
Bei SSH kann ich mich aber trotzdem einloggen, wenn ich |
50 |
einen SSH Public Key verwende. |
51 |
|
52 |
Warum ist das so? Wie bekomme ich es hin, das ich mich per |
53 |
SSH nicht einloggen kann, wenn ein entsprechender Eintrag |
54 |
in der system-auth.deny vorgenommen wurde? |
55 |
|
56 |
openssh wurde mit folgenden Flags gebaut: |
57 |
|
58 |
[ebuild R ] net-misc/openssh-4.3_p1 USE="hpn pam sftplogging static tcpd -X509 -chroot -ipv6 -kerberos -ldap -libedit -skey -smartcard" 0 kB |
59 |
|
60 |
Danke, |
61 |
|
62 |
Alexander Skwar |
63 |
-- |
64 |
* dark has changed the topic on channel #debian to: Later tonight: After |
65 |
months of careful refrigeration, Debian 2.0 is finally cool enough to |
66 |
release. |
67 |
|
68 |
-- |
69 |
gentoo-user-de@g.o mailing list |