Test per PAM
Moderatore: Staff
1) Citare sempre la versione di Slackware64 usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Slackware64, se l'argomento è Slackware32 o generale usate rispettivamente il forum Slackware o Gnu/Linux in genere.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.
La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.
- conraid
- Staff
- Messaggi: 13630
- Iscritto il: gio 14 lug 2005, 0:00
- Nome Cognome: Corrado Franco
- Slackware: current64
- Desktop: kde
- Località: Livorno
- Contatta:
Test per PAM
Ho provato con questo esempio
https://www.tecmint.com/configure-pam-i ... ntu-linux/
a impedire il login di particolari utenti, ma naturalmente non funziona
Come potrei testarne il funzionamento?
-
- Iper Master
- Messaggi: 2492
- Iscritto il: gio 10 mar 2011, 9:21
- Slackware: 15.0
- Kernel: 5.15.x-generic
- Desktop: Sway
- Distribuzione: Arch Linux
Re: Test per PAM
Il classico modulo pam_limits?
Dal tuo utente:
Codice: Seleziona tutto
ulimit -r
Se però aggiungi in /etc/security/limits.conf:
Codice: Seleziona tutto
<tuo_utente> - rtprio 95
Codice: Seleziona tutto
@<gruppo_tuo_utente> - rtprio 95
Codice: Seleziona tutto
ulimit -r
- conraid
- Staff
- Messaggi: 13630
- Iscritto il: gio 14 lug 2005, 0:00
- Nome Cognome: Corrado Franco
- Slackware: current64
- Desktop: kde
- Località: Livorno
- Contatta:
Re: Test per PAM
Codice: Seleziona tutto
Dimenticavo di dire che SSH non riesco a farlo funzionare anche mettendo dentro /etc/security/access.conf
+:root:127.0.0.1
+:conraid:ALL
# All other users should be denied to get access from all sources.
-:ALL:ALL
In sshd.conf c'è use pam yes naturalmente
-
- Iper Master
- Messaggi: 2492
- Iscritto il: gio 10 mar 2011, 9:21
- Slackware: 15.0
- Kernel: 5.15.x-generic
- Desktop: Sway
- Distribuzione: Arch Linux
Re: Test per PAM
- conraid
- Staff
- Messaggi: 13630
- Iscritto il: gio 14 lug 2005, 0:00
- Nome Cognome: Corrado Franco
- Slackware: current64
- Desktop: kde
- Località: Livorno
- Contatta:
Re: Test per PAM
Codice: Seleziona tutto
Mar 6 11:23:53 thinkstar1 sshd[27388]: pam_unix(sshd:session): session opened for user prova by (uid=0)
Mar 6 11:23:55 thinkstar1 sshd[27388]: pam_unix(sshd:session): session closed for user prova
Mar 6 11:24:17 thinkstar1 sshd[1414]: pam_unix(sshd:session): session closed for user conraid
Mar 6 11:24:17 thinkstar1 sshd[24365]: pam_unix(sshd:session): session closed for user conraid
Mar 6 11:31:48 thinkstar1 sshd[27660]: pam_unix(sshd:session): session opened for user conraid by (uid=0)
Mar 6 11:31:48 thinkstar1 sshd[27660]: gkr-pam: unable to locate daemon control file
Mar 6 11:31:53 thinkstar1 sshd[27714]: pam_unix(sshd:session): session opened for user conraid by (uid=0)
Mar 6 11:31:53 thinkstar1 sshd[27714]: gkr-pam: unable to locate daemon control file
ho applicato la patch
https://gitlab.gnome.org/GNOME/gnome-che ... 46744d472e
e ora funziona
prova
- conraid
- Staff
- Messaggi: 13630
- Iscritto il: gio 14 lug 2005, 0:00
- Nome Cognome: Corrado Franco
- Slackware: current64
- Desktop: kde
- Località: Livorno
- Contatta:
Re: Test per PAM
-
- Iper Master
- Messaggi: 2492
- Iscritto il: gio 10 mar 2011, 9:21
- Slackware: 15.0
- Kernel: 5.15.x-generic
- Desktop: Sway
- Distribuzione: Arch Linux
Re: Test per PAM
Sì, quello non è un problema ed è determinato daconraid ha scritto: ↑ven 6 mar 2020, 12:16Codice: Seleziona tutto
Mar 6 11:31:53 thinkstar1 sshd[27714]: gkr-pam: unable to locate daemon control file
Codice: Seleziona tutto
session optional pam_gnome_keyring.so auto_start
####################
Ma forse ci sono.
Credo serva aggiungere il modulo pam_access.so da qualche parte affinché il controllo degli accessi funzioni.
Ad esempio, in "/etc/pam.d/login" ho aggiunto:
Codice: Seleziona tutto
account required pam_access.so
Codice: Seleziona tutto
account required pam_nologin.so
Codice: Seleziona tutto
-:test:tty2
Codice: Seleziona tutto
Mar 9 14:13:08 current login: pam_access(login:account): access denied for user `test' from `tty2'
Mar 9 14:13:08 current login: Permission denied
Codice: Seleziona tutto
Mar 9 14:13:20 current login: pam_unix(login:session): session opened for user test by LOGIN(uid=0)
Mar 9 14:13:20 current login: LOGIN ON tty3 BY test
Edit
Forse è meglio mettere `pam_access.so` dopo `pam_nologin.so`.
-
- Iper Master
- Messaggi: 2492
- Iscritto il: gio 10 mar 2011, 9:21
- Slackware: 15.0
- Kernel: 5.15.x-generic
- Desktop: Sway
- Distribuzione: Arch Linux
Re: Test per PAM
Codice: Seleziona tutto
account required pam_listfile.so \
onerr=fail item=user sense=deny file=/etc/ssh/deniedusers
Codice: Seleziona tutto
cat /etc/ssh/deniedusers
test
Codice: Seleziona tutto
sshd[12819]: pam_listfile(sshd:account): Refused user test for service sshd
- conraid
- Staff
- Messaggi: 13630
- Iscritto il: gio 14 lug 2005, 0:00
- Nome Cognome: Corrado Franco
- Slackware: current64
- Desktop: kde
- Località: Livorno
- Contatta:
Re: Test per PAM
Codice: Seleziona tutto
auth required pam_listfile.so item=user sense=deny file=/etc/ssh/sshd.deny onerr=succeed
Prima forse sbagliavo qualcos'altro, ma mi sembrava ok, tranne il nome del file diverso.
-
- Iper Master
- Messaggi: 2492
- Iscritto il: gio 10 mar 2011, 9:21
- Slackware: 15.0
- Kernel: 5.15.x-generic
- Desktop: Sway
- Distribuzione: Arch Linux
Re: Test per PAM
A me con auth non va - solo account o session.conraid ha scritto: ↑lun 9 mar 2020, 15:23Io ora hoe basta, e funziona.Codice: Seleziona tutto
auth required pam_listfile.so item=user sense=deny file=/etc/ssh/sshd.deny onerr=succeed
Prima forse sbagliavo qualcos'altro, ma mi sembrava ok, tranne il nome del file diverso.
Il tuo log cosa dice?
- conraid
- Staff
- Messaggi: 13630
- Iscritto il: gio 14 lug 2005, 0:00
- Nome Cognome: Corrado Franco
- Slackware: current64
- Desktop: kde
- Località: Livorno
- Contatta:
Re: Test per PAM
- conraid
- Staff
- Messaggi: 13630
- Iscritto il: gio 14 lug 2005, 0:00
- Nome Cognome: Corrado Franco
- Slackware: current64
- Desktop: kde
- Località: Livorno
- Contatta:
Re: Test per PAM
allora la patch serve a na sega
- conraid
- Staff
- Messaggi: 13630
- Iscritto il: gio 14 lug 2005, 0:00
- Nome Cognome: Corrado Franco
- Slackware: current64
- Desktop: kde
- Località: Livorno
- Contatta:
Re: Test per PAM
Continua, per 3 volte.
-
- Iper Master
- Messaggi: 2492
- Iscritto il: gio 10 mar 2011, 9:21
- Slackware: 15.0
- Kernel: 5.15.x-generic
- Desktop: Sway
- Distribuzione: Arch Linux
Re: Test per PAM
Ok, e poi salta fuori di nuovo quel gkr.... etc. Perfetto, così anche da me.
Però, considera che se per caso l'utente ha guadagnato il login automatico su ssh per via di una chiave passata con ssh-copy-id, è in grado di bypassare il blocco via pam.
Se invece metti 'account' o 'session' al posto di 'auth', pialli all'istante anche lui e chiudi immediatamente la connessione