* [Comm] ssh, pam, empty passwords
@ 2018-02-20 22:27 Michael A. Kangin
2018-02-20 22:35 ` Michael A. Kangin
0 siblings, 1 reply; 2+ messages in thread
From: Michael A. Kangin @ 2018-02-20 22:27 UTC (permalink / raw)
To: ALT Linux Community general discussions
Здравствуйте.
Обнаружилось, что если у пользователя пустой пароль, то:
- sshd не пускает с пустым паролем, потому что PermitEmptyPasswords no,
- sshd пускает с _любым_ непустым паролем, наверное потому что везде
nullok в PAM'ах.
sshd[2995]: pam_tcb(sshd:auth): Authentication passed for altlinux from
(uid=0)
В мире существует такая интересная опция, как nullok_secure:
The default action of this module is to not permit the user access
to a service if their official password is blank. The nullok_secure
argument overrides this default and allows any user with a blank
password to access the service as long as the value of PAM_TTY is
set to one of the values found in /etc/securetty.
А у нас почему-то нет:
sshd[2921]: pam_tcb(sshd:auth): Unrecognized option: nullok_secure
как быть? хотелось бы, чтобы пользователь с пустым паролем не мог
залогиниться по SSH, но мог с консоли.
при этом полностью отключать аутентификацию по паролям нежелательно.
^ permalink raw reply [flat|nested] 2+ messages in thread
* Re: [Comm] ssh, pam, empty passwords
2018-02-20 22:27 [Comm] ssh, pam, empty passwords Michael A. Kangin
@ 2018-02-20 22:35 ` Michael A. Kangin
0 siblings, 0 replies; 2+ messages in thread
From: Michael A. Kangin @ 2018-02-20 22:35 UTC (permalink / raw)
To: community
On 02/20/2018 11:27 PM, Michael A. Kangin wrote:
> как быть? хотелось бы, чтобы пользователь с пустым паролем не мог
> залогиниться по SSH, но мог с консоли.
Вроде помогло снести nullok в system-auth-use_first_pass
Консоль наверное другим пользуется.
^ permalink raw reply [flat|nested] 2+ messages in thread
end of thread, other threads:[~2018-02-20 22:35 UTC | newest]
Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2018-02-20 22:27 [Comm] ssh, pam, empty passwords Michael A. Kangin
2018-02-20 22:35 ` Michael A. Kangin
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git