From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-3.3 required=5.0 tests=BAYES_00,RP_MATCHES_RCVD autolearn=ham autolearn_force=no version=3.4.1 To: ALT Linux Community general discussions From: "Michael A. Kangin" Message-ID: Date: Tue, 20 Feb 2018 23:27:00 +0100 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Thunderbird/45.6.0 MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8; format=flowed Content-Transfer-Encoding: 8bit Subject: [Comm] ssh, pam, empty passwords X-BeenThere: community@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Community general discussions List-Id: ALT Linux Community general discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 20 Feb 2018 22:27:02 -0000 Archived-At: List-Archive: List-Post: Здравствуйте. Обнаружилось, что если у пользователя пустой пароль, то: - sshd не пускает с пустым паролем, потому что PermitEmptyPasswords no, - sshd пускает с _любым_ непустым паролем, наверное потому что везде nullok в PAM'ах. sshd[2995]: pam_tcb(sshd:auth): Authentication passed for altlinux from (uid=0) В мире существует такая интересная опция, как nullok_secure: The default action of this module is to not permit the user access to a service if their official password is blank. The nullok_secure argument overrides this default and allows any user with a blank password to access the service as long as the value of PAM_TTY is set to one of the values found in /etc/securetty. А у нас почему-то нет: sshd[2921]: pam_tcb(sshd:auth): Unrecognized option: nullok_secure как быть? хотелось бы, чтобы пользователь с пустым паролем не мог залогиниться по SSH, но мог с консоли. при этом полностью отключать аутентификацию по паролям нежелательно.