[UBK dev] isóteszt

Kiss Attila attus at enterpriseforever.com
2019. Okt. 12., Szo, 21:21:55 CEST 

2019. 10. 12. 17:37 keltezéssel, Kiss Attila írta:
>
> 2019. 10. 09. 21:01 keltezéssel, Kiss Attila írta:
>>
>>
>> Lehet hogy PAM nyűg?
>>
> Rendbetéve az isó generálást és a dracutot a /bin és /sbin mappák 
> szimlinkre történt cserélése után futtatva minden indulási piros 
> failed megszűnik, minden zöld.
>
> A szerintem szóba jöhető csomagok, melyekben a beléptetési hiba oka 
> lehet a következők:
>
>> audit
>> fbgetty
>> pam
>> polkit
>> shadow
>> systemd
>> util-linux
>
> Mind alapvető csomag és mind rendben lévőnek tűnik, de valójában 
> valamelyik hibás. Esetleg több is.
>
> Én feladtam, nem nyomozok tovább. A tudásom ehhez már kevés.
>
>
Nálunk a /etc/pam.d login link a system-auth fájlra mutat.

Ez így néz ki:

> #%PAM-1.0
>
> auth        required    pam_nologin.so
> auth        required    pam_unix.so shadow nullok
> auth        required    pam_group.so
> auth        optional        pam_gnome_keyring.so
>
> account        required    pam_unix.so
>
> password    required    pam_cracklib.so retry=3
> password    required    pam_unix.so nullok use_authtok md5 shadow
> password    optional    pam_gnome_keyring.so
>
> session        required    pam_env.so
> session        required    pam_envfeed.so
> session        required    pam_limits.so
> session     required    pam_loginuid.so
> session     required    pam_systemd.so
> session        [success=1 default=ignore] pam_succeed_if.so service in 
> crond quiet use_uid
> session        optional    pam_lastlog.so never
> session        optional    pam_motd.so
> session        optional    pam_mail.so quiet
> session        optional    pam_gnome_keyring.so auto_start

Gyanús, hogy itt valami már nem jó, nem enged be a PAM.


Google fordítóval próbálom értelmezni a PAM beállításait.


> https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/managing_smart_cards/PAM_Configuration_Files#ex.pam-config
> Example 2.1. Simple PAM Configuration
>
> auth required pam_securetty.so
> - Ez a modul biztosítja, hogy ha a felhasználó root felhasználóként 
> próbál bejelentkezni, akkor a tty, amelyen a felhasználó 
> bejelentkezik, szerepel az / etc / securetty fájlban, ha létezik. Ha a 
> tty nem szerepel a fájlban, akkor a root felhasználóként történő 
> bejelentkezés megkísérlése sikertelen bejelentkezési üzenettel jelenik 
> meg.
>
> auth required pam_unix.so nullok
> - Ez a modul jelszót kér a felhasználótól, majd ellenőrzi a jelszót az 
> / etc / passwd mappában tárolt információk alapján, és ha létezik, az 
> / etc / shadow fájlban.
> A nullok argumentum arra utasítja a pam_unix.so modult, hogy 
> engedélyezzen üres jelszót.
>
> auth required pam_nologin.so
> - Ez az utolsó hitelesítési lépés. Ellenőrzi, hogy létezik-e az / etc 
> / nologin fájl. Ha létezik, és a felhasználó nem root, a hitelesítés 
> sikertelen.
>
> account required pam_unix.so
> - Ez a modul elvégzi a szükséges fiók-ellenőrzést. Például, ha 
> engedélyezve vannak az árnyékjelszavak, akkor a pam_unix.so modul 
> fiókfelülete ellenőrzi, hogy a fiók lejárt-e, vagy a felhasználó nem 
> változtatta meg a jelszót a megengedett türelmi időn belül.
>
> password required pam_cracklib.so retry=3
> - Ha egy jelszó lejárt, a pam_cracklib.so modul jelszókomponense új 
> jelszót kér. Ezután teszteli az újonnan létrehozott jelszót, hogy 
> megtudja, könnyen meghatározható-e egy szótár alapú jelszó-krakkoló 
> program.
> Az újrapróbálkozás = 3 argumentum meghatározza, hogy ha a teszt első 
> alkalommal sikertelen, akkor a felhasználónak még két esélye van egy 
> erős jelszó létrehozására.
>
> password required pam_unix.so shadow nullok use_authtok
> - Ez a sor azt jelzi, hogy ha a program megváltoztatja a felhasználói 
> jelszót, akkor a pam_unix.so modul jelszó felületét használja.
>
>      Az árnyék argumentum arra utasítja a modult, hogy hozzon létre 
> árnyékjelszavakat, amikor frissíti a felhasználói jelszót.
>      A nullok argumentum arra utasítja a modult, hogy engedje meg a 
> felhasználónak, hogy megváltoztassa a jelszavát egy üres jelszóról, 
> különben a null jelszót számlazárnak kell tekinteni.
>      Az utolsó érv ezen a vonalon, a use_authtok jó példát mutat a 
> rend fontosságára a PAM modulok egymásra rakásakor. Ez az argumentum 
> arra utasítja a modult, hogy ne kérjen meg a felhasználótól új 
> jelszót. Ehelyett elfogad minden olyan jelszót, amelyet egy korábbi 
> jelszómodul rögzített. Ilyen módon az összes új jelszónak át kell 
> mennie a pam_cracklib.so tesztben a biztonságos jelszavak elfogadása 
> előtt.
>
> session required pam_unix.so
> - Az utolsó sor utasítja a pam_unix.so modul munkamenet felületét a 
> munkamenet kezelésére. Ez a modul naplózza a felhasználónevet és a 
> szolgáltatástípust a / var / log / secure könyvtárba minden munkamenet 
> elején és végén. Ezt a modult ki lehet egészíteni, ha más munkamenetes 
> modulokkal egymásra helyezzük a további funkciók eléréséhez.

További információk a(z) dev levelezőlistáról