Questions tagged «pam»

在我无法控制的其中一个盒子上，我使用ssh钥匙登录。我们的密码设置为在几个月后失效。如果我不重置密码并且密码过期了怎么办？我仍然可以登录吗？发生什么情况取决于某些sshd设置吗？或一些pam设置？

11 linux  ssh  security  pam 

背景： 我对配置方面的pam和LDAP认证的来龙去脉不太熟悉。我曾经使用过使用pam的系统，但是我只在应用程序上工作，而不是系统本身。 问题： 使用pam通过LDAP控制认证，这是否意味着将不会在系统上创建主目录？ 如果不是，我将在服务器上创建用户还是以某种方式将用户从LDAP源推送到系统？

10 users  pam  home  ldap 

我基本上知道这些服务的功能彼此分开。我想知道的是：在使用所有这些服务的基于linux的网络中成功登录后会发生什么？以什么顺序咨询这些服务？什么服务与什么服务对话？

10 login  pam  ldap  kerberos  sssd 

是否有任何程序或脚本可用于解密Linux影子文件？

10 linux  password  pam  cryptography 

命令 pamtester -v auth pknopf authenticate pamtester: invoking pam_start(auth, pknopf, ...) pamtester: performing operation - authenticate Password: pamtester: Authentication failure 新闻 Feb 06 13:22:17 PAULS-ARCH unix_chkpwd[31998]: check pass; user unknown Feb 06 13:22:17 PAULS-ARCH unix_chkpwd[31998]: password check failed for user (pknopf) Feb 06 13:22:17 PAULS-ARCH pamtester[31997]: pam_unix(auth:auth): authentication failure; logname= …

10 pam 

我们有几个基于Ubuntu 12.04构建的Backbox 3.13系统。我的一个青少年不了解这种叫做“睡眠”的东西的概念，并且倾向于在计算机上玩。我试图限制该动作。我们确实尝试了保姆工作了几天。然后，即使设置仍然存在，它仍然允许所说的青少年访问其用户帐户和Internet。 经过研究，我决定尝试进行修改/etc/security/time.conf。显然，我没有正确执行此操作，因为无论我对文件输入了哪些命令，我​​们仍然可以登录到她的用户帐户。我们不希望她在晚上9点到凌晨6点之间可以访问。我们仍然需要我始终可以访问计算机。这是我尝试过的几种语法： 1. login;*;username;A12100-0600 2. login;*;username;!A12100-0600 3. login;*;username;!A12100-0600 login;*;my username;A10000-2400 4. login;*;!username;A12100-0600 我在这里试图弄清楚如何做到这一点。我敢肯定，这很简单，我很想念，或者我输入不正确。任何援助将不胜感激。

9 login  pam  account-restrictions 

我正在尝试设置2因素身份验证。如果出现以下情况，我希望用户成功登录： 公钥/私钥匹配（认证方式：publickey）或密码正确 我的pam身份验证方法成功。 第二种身份验证方法是PAM文件。因此，我将其放入/usr/lib/pam/并添加auth required my_pam_module.so到中/etc/pam.d/sshd。 到目前为止，我可以使用（publickey方法）或（密码和我的pam模块所需的任何东西）登录。因此，我添加AuthenticationMethods publickey,keyboard-interactive了内容/etc/sshd_config，现在我需要拥有公共密钥，密码和“我的pam模块需要什么”。 为了达到上述目的，我需要更改哪些行？我正在使用Mac OS X Mavericks（10.9）。如果您不熟悉Mac，它也可以帮助您在Linux系统上进行操作。

9 ssh  authentication  pam 

处理SSH连接时，系统需要经过哪些步骤？ 我们尝试通过ssh登录 sshd 启动pam和pam模块以对我们进行身份验证 根据pam配置，我们需要提供用户名和密码（pam检查passwd和shadow文件） PAM检查hosts.allow/deny，/etc/shells和其他的东西 如果一切顺利，我们已登录 ??? 外壳启动 所以我的问题是什么机制负责检查在用户passwd文件中将哪个外壳分配给了用户（在步骤6中）？是pam本身，某些特定的pam模块sshd，还是其他？我知道可以passwd通过编写pam模块来替换文件（用于检查用户名和密码），但是如何替换passwdshell条目的文件？

9 shell  ssh  pam 

我想要实现的是一个交互式程序，该程序可以在向用户询问密码之前或之后运行，但是除非成功退出，否则不会处理对计算机的访问。为了使它更易于理解，下面是一个示例： 我想通过首先输入用户名，然后输入密码，然后正确回答一个简单的随机生成的数学问题来访问计算机。 为此，我使用以下系统身份验证文件： auth required pam_unix.so try_first_pass nullok nodelay auth optional pam_faildelay.so delay=600000 auth optional pam_exec.so stdout /home/math auth optional pam_permit.so auth required pam_env.so 问题在于，名为math的程序无法处理来自用户的输入，因为它会自动从PAM读取EOF，这实际上使它无用。我还尝试了以下可疑行的变体，在这种情况下，它会读取密码，这也不是我想要的： auth optional pam_exec.so stdout expose_authtok /home/math

8 linux  login  authentication  pam 

sudo我在Ubuntu 14.04服务器上输入的第一个总是很慢。密码提示会立即显示，但是在我按Enter键之后，大约需要10到15秒钟，直到打印输出。此后所有sudo命令都会立即执行。 sudo strace -S time -c sudo echo hi在这种情况下，运行类似之类的命令不会显示任何有用的信息，因为sudo from sudo echo hi已经是第二个sudo并且可以快速执行。如果过了一段时间，并且我必须在运行的会话中重新输入密码，那么它又很慢。 我发现的所有解决方案都是在/etc/hosts文件中添加主机名作为127.0.0.1的解析，但我没有用。su root立即执行。我记得最近几天更改的唯一一件事是服务器路由，安装samba，dnsutils和bind9的子网的子网掩码。但是这些进程都没有运行，并且问题仍然存在，包括物理访问，ssh会话以及tmux会话。 编辑：新方法 我尝试sudo tcpdump -vvvi any > tcpdump.log 在所有NIC都断开连接的情况下运行。日志显示以下内容： 18:35:09.453399 IP (tos 0x0, ttl 64, id 49112, offset 0, flags [DF], proto UDP (17), length 76) localhost.38498 > localhost.domain: [bad udp cksum 0xfe4b -> 0x1050!] …

8 sudo  dns  pam 

我使用该pam-auth-update工具来启用一些pam配置配置文件： PAM configuration PAM profiles to enable: [*] encfs encrypted home directories [*] Unix authentication [*] Mount volumes for user [*] GNOME Keyring Daemon - Login keyring management [*] ConsoleKit Session Management 所有功能都按预期工作，但有一件事情-该Mount volumes for user选项似乎会影响su命令。 我在/etc/security/pam_mount.conf.xml文件中添加了以下行： <volume user="morfik" fstype="fuse" path="encfs#/media/Server/Dropbox.encfs/Dropbox/encrypted" mountpoint="/media/Server/Dropbox" /> 当我输入终端su morfik（以root用户身份）时，不应出现任何密码提示，但我看到的是： # su morfik reenter password …

8 mount  password  pam 

我正在编写自己的PAM模块，该模块将成为我正在开发的应用程序的一部分，但是我不确定确切的位置。我的模块基本上执行类似于LDAP的网络级身份验证（当然还有其他mojo）。 我的/etc/pam.d/目录中有很多配置文件，我知道大多数服务都可以做什么（除了一对，例如atd，polkit，ppp）。我假设使用PAM堆栈进行身份验证的过程如下： 根据服务名称运行堆栈（如果存在配置文件） 如果未通过身份验证，则退回到common- *，其中*是模块类型（身份验证，帐户等） 返回成功或失败调用应用程序（当然还有其他任何数据） 我对这个假设是否正确？ 所有平台都具有通用身份验证，通用帐户，通用密码和通用会话吗？ 如果是这样，我正在考虑将其作为sufficient模块放在common- *的顶部，这样在发生故障时，常规PAM堆栈将不受影响。这是特别有利的，因为我可以在软件安装时以编程方式执行此操作。 我是否缺少任何潜在的安全漏洞？ 我找不到关于在哪里集成自定义PAM模块或围绕放置模块的安全问题的很好的文档。

8 security  authentication  pam 

我有一个FreeBSD托管服务器，我希望能够从任何地方访问它。通常，我使用SSH公钥登录，或者如果我没有可用的SSH私钥，则可以通过SSH使用常规密码。但是，从不受信任的计算机登录时，总是存在键盘记录器在键入密码时捕获我的密码的风险。 FreeBSD已经支持OPIE，这是一次性密码方案。这很好用，但是一次性密码是唯一需要的身份验证。如果我打印出一次使用的密码列表供以后使用，那么如果我丢失了该列表，那么这就是所有人的需要。 我想设置身份验证，以便我需要一个一次性密码和一个我知道的东西（一个密码，除了我通常的登录密码外）。我觉得答案与PAM（和/etc/pam.d/sshd）有关，但我不确定细节。 如何在需要两种方法的地方设置身份验证？

8 security  freebsd  ssh  password  pam