ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] ssh, pam, empty passwords
@ 2018-02-20 22:27 Michael A. Kangin
  2018-02-20 22:35 ` Michael A. Kangin
  0 siblings, 1 reply; 2+ messages in thread
From: Michael A. Kangin @ 2018-02-20 22:27 UTC (permalink / raw)
  To: ALT Linux Community general discussions

Здравствуйте.

Обнаружилось, что если у пользователя пустой пароль, то:
- sshd не пускает с пустым паролем, потому что PermitEmptyPasswords no,
- sshd пускает с _любым_ непустым паролем, наверное потому что везде 
nullok в PAM'ах.
sshd[2995]: pam_tcb(sshd:auth): Authentication passed for altlinux from 
(uid=0)


В мире существует такая интересная опция, как nullok_secure:
The default action of this module is to not permit the user access
to a service if their official password is blank. The nullok_secure
argument overrides this default and allows any user with a blank
password to access the service as long as the value of PAM_TTY is
set to one of the values found in /etc/securetty.

А у нас почему-то нет:
sshd[2921]: pam_tcb(sshd:auth): Unrecognized option: nullok_secure


как быть? хотелось бы, чтобы пользователь с пустым паролем не мог 
залогиниться по SSH, но мог с консоли.
при этом полностью отключать аутентификацию по паролям нежелательно.


^ permalink raw reply	[flat|nested] 2+ messages in thread
* Re: [Comm] ssh, pam, empty passwords
  2018-02-20 22:27 [Comm] ssh, pam, empty passwords Michael A. Kangin
@ 2018-02-20 22:35 ` Michael A. Kangin
  0 siblings, 0 replies; 2+ messages in thread
From: Michael A. Kangin @ 2018-02-20 22:35 UTC (permalink / raw)
  To: community

On 02/20/2018 11:27 PM, Michael A. Kangin wrote:

> как быть? хотелось бы, чтобы пользователь с пустым паролем не мог
> залогиниться по SSH, но мог с консоли.

Вроде помогло снести nullok в system-auth-use_first_pass
Консоль наверное другим пользуется.



^ permalink raw reply	[flat|nested] 2+ messages in thread
end of thread, other threads:[~2018-02-20 22:35 UTC | newest]

Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2018-02-20 22:27 [Comm] ssh, pam, empty passwords Michael A. Kangin
2018-02-20 22:35 ` Michael A. Kangin

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git