[UBK dev] isóteszt
Kiss Attila
attus at enterpriseforever.com
2019. Okt. 12., Szo, 21:21:55 CEST
2019. 10. 12. 17:37 keltezéssel, Kiss Attila írta:
>
> 2019. 10. 09. 21:01 keltezéssel, Kiss Attila írta:
>>
>>
>> Lehet hogy PAM nyűg?
>>
> Rendbetéve az isó generálást és a dracutot a /bin és /sbin mappák
> szimlinkre történt cserélése után futtatva minden indulási piros
> failed megszűnik, minden zöld.
>
> A szerintem szóba jöhető csomagok, melyekben a beléptetési hiba oka
> lehet a következők:
>
>> audit
>> fbgetty
>> pam
>> polkit
>> shadow
>> systemd
>> util-linux
>
> Mind alapvető csomag és mind rendben lévőnek tűnik, de valójában
> valamelyik hibás. Esetleg több is.
>
> Én feladtam, nem nyomozok tovább. A tudásom ehhez már kevés.
>
>
Nálunk a /etc/pam.d login link a system-auth fájlra mutat.
Ez így néz ki:
> #%PAM-1.0
>
> auth required pam_nologin.so
> auth required pam_unix.so shadow nullok
> auth required pam_group.so
> auth optional pam_gnome_keyring.so
>
> account required pam_unix.so
>
> password required pam_cracklib.so retry=3
> password required pam_unix.so nullok use_authtok md5 shadow
> password optional pam_gnome_keyring.so
>
> session required pam_env.so
> session required pam_envfeed.so
> session required pam_limits.so
> session required pam_loginuid.so
> session required pam_systemd.so
> session [success=1 default=ignore] pam_succeed_if.so service in
> crond quiet use_uid
> session optional pam_lastlog.so never
> session optional pam_motd.so
> session optional pam_mail.so quiet
> session optional pam_gnome_keyring.so auto_start
Gyanús, hogy itt valami már nem jó, nem enged be a PAM.
Google fordítóval próbálom értelmezni a PAM beállításait.
> https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/managing_smart_cards/PAM_Configuration_Files#ex.pam-config
> Example 2.1. Simple PAM Configuration
>
> auth required pam_securetty.so
> - Ez a modul biztosítja, hogy ha a felhasználó root felhasználóként
> próbál bejelentkezni, akkor a tty, amelyen a felhasználó
> bejelentkezik, szerepel az / etc / securetty fájlban, ha létezik. Ha a
> tty nem szerepel a fájlban, akkor a root felhasználóként történő
> bejelentkezés megkísérlése sikertelen bejelentkezési üzenettel jelenik
> meg.
>
> auth required pam_unix.so nullok
> - Ez a modul jelszót kér a felhasználótól, majd ellenőrzi a jelszót az
> / etc / passwd mappában tárolt információk alapján, és ha létezik, az
> / etc / shadow fájlban.
> A nullok argumentum arra utasítja a pam_unix.so modult, hogy
> engedélyezzen üres jelszót.
>
> auth required pam_nologin.so
> - Ez az utolsó hitelesítési lépés. Ellenőrzi, hogy létezik-e az / etc
> / nologin fájl. Ha létezik, és a felhasználó nem root, a hitelesítés
> sikertelen.
>
> account required pam_unix.so
> - Ez a modul elvégzi a szükséges fiók-ellenőrzést. Például, ha
> engedélyezve vannak az árnyékjelszavak, akkor a pam_unix.so modul
> fiókfelülete ellenőrzi, hogy a fiók lejárt-e, vagy a felhasználó nem
> változtatta meg a jelszót a megengedett türelmi időn belül.
>
> password required pam_cracklib.so retry=3
> - Ha egy jelszó lejárt, a pam_cracklib.so modul jelszókomponense új
> jelszót kér. Ezután teszteli az újonnan létrehozott jelszót, hogy
> megtudja, könnyen meghatározható-e egy szótár alapú jelszó-krakkoló
> program.
> Az újrapróbálkozás = 3 argumentum meghatározza, hogy ha a teszt első
> alkalommal sikertelen, akkor a felhasználónak még két esélye van egy
> erős jelszó létrehozására.
>
> password required pam_unix.so shadow nullok use_authtok
> - Ez a sor azt jelzi, hogy ha a program megváltoztatja a felhasználói
> jelszót, akkor a pam_unix.so modul jelszó felületét használja.
>
> Az árnyék argumentum arra utasítja a modult, hogy hozzon létre
> árnyékjelszavakat, amikor frissíti a felhasználói jelszót.
> A nullok argumentum arra utasítja a modult, hogy engedje meg a
> felhasználónak, hogy megváltoztassa a jelszavát egy üres jelszóról,
> különben a null jelszót számlazárnak kell tekinteni.
> Az utolsó érv ezen a vonalon, a use_authtok jó példát mutat a
> rend fontosságára a PAM modulok egymásra rakásakor. Ez az argumentum
> arra utasítja a modult, hogy ne kérjen meg a felhasználótól új
> jelszót. Ehelyett elfogad minden olyan jelszót, amelyet egy korábbi
> jelszómodul rögzített. Ilyen módon az összes új jelszónak át kell
> mennie a pam_cracklib.so tesztben a biztonságos jelszavak elfogadása
> előtt.
>
> session required pam_unix.so
> - Az utolsó sor utasítja a pam_unix.so modul munkamenet felületét a
> munkamenet kezelésére. Ez a modul naplózza a felhasználónevet és a
> szolgáltatástípust a / var / log / secure könyvtárba minden munkamenet
> elején és végén. Ezt a modult ki lehet egészíteni, ha más munkamenetes
> modulokkal egymásra helyezzük a további funkciók eléréséhez.
További információk a(z) dev levelezőlistáról