From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.0 required=5.0 tests=BAYES_00,DKIM_SIGNED, DKIM_VALID,DKIM_VALID_AU,FREEMAIL_FROM autolearn=ham autolearn_force=no version=3.4.1 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20161025; h=to:from:subject:message-id:date:user-agent:mime-version :content-language:content-transfer-encoding; bh=igNFDOMvmjFpgiO5oUz22JyTA9DNvwWfXXW5KHqj9+k=; b=dy+biC1BJCNluN8Cg1SXYipFOeFDV+Q1AN+vPuxPTZaOC6t0eCs65dO12zKWwhBLZR 7Qc0EDioM0MPD+aMtdJFoA9hr8Fhf9fxrIh/jJTYZj5Um0prya85gyqKZ2Czj58QtBLz Lg8ePOyQa/zuD9ln4cucT+fjAl/xXikJjLttmKEBXhNBx1v5s7Yxf+v9JF7sSu6zCVvf CjdZTkJh4bBRfqKewfiqihm4W6gFN1dhLAo5AnPrYAAt/h+7eFc7x4VXC1s7XxAOrjG+ M64Bw8IKkXkyU2CtUW0gTX2HCP09vLxgsCXKH6SWOdIstp94nX5oC9GFPuwccXR36/Tz hu6A== X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20161025; h=x-gm-message-state:to:from:subject:message-id:date:user-agent :mime-version:content-language:content-transfer-encoding; bh=igNFDOMvmjFpgiO5oUz22JyTA9DNvwWfXXW5KHqj9+k=; b=ki/NQdSydHvntn01N8ZYi+KXlNI+mjErIKr+2xosrUTPdLSQOVC2DIErXyarCChiCw vEsTQNzKpFivSItkHOLmBnLHqrAZDAZf/JL/xinY/0b1J0/tTjQbzkrzRgfQFE9xujOe sYaBniv0ModhABFaBkRmoGejTe+oauDtBcDUI8EjfS1pD2jTR2SgWlBFqizOlosQ35cR Ocjtso8mJxT1nbOueuLZ3xZIRrvKb8K9E+yslgHJjJLUP7qCbXPBT/BTPyTf5a3dccTq u7NvVHN9DzTmt4SQPos1/iwZiOPrOeNvWUYw5u3YYPxvcbNve0YMhw8923M5Hz3HqCCP U0NQ== X-Gm-Message-State: APjAAAUALLlFIweplLNNOiSdHMlt5OfoXqLltJv2LBE68s7Zivi/Xqn/ M0PJK/uGX2j7tp2qmY5kTfQDE8Mh X-Google-Smtp-Source: APXvYqy2ezPhZUzGVXWNGJqF59Bvtes3ZPvuXnaq7hgqerQkWddzRwrdumu4KaM6dCl5/QYCGONG1A== X-Received: by 2002:ac2:5445:: with SMTP id d5mr5097066lfn.43.1568904909655; Thu, 19 Sep 2019 07:55:09 -0700 (PDT) X-Mozilla-News-Host: news://gmane.org:119 To: ALT Linux Sisyphus discussions From: Alexei Mezin Message-ID: <6ee4c3ff-02fc-02fa-b81d-6e0b900cbea1@gmail.com> Date: Thu, 19 Sep 2019 17:55:07 +0300 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:60.0) Gecko/20100101 Thunderbird/60.9.0 MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8; format=flowed Content-Language: ru Content-Transfer-Encoding: 8bit Subject: [sisyphus] =?utf-8?b?0LTQstGD0YXRhNCw0LrRgtC+0YDQvdCw0Y8g0LDRg9GC?= =?utf-8?b?0LXQvdGC0LjRhNC40LrQsNGG0LjRjyDRgSBnb29nbGUgYXV0aGVudGljYXRv?= =?utf-8?q?r?= X-BeenThere: sisyphus@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Sisyphus discussions List-Id: ALT Linux Sisyphus discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 19 Sep 2019 14:55:15 -0000 Archived-At: List-Archive: List-Post: Сизиф, только что обновил систему, поставил google authenticator. Настройки такие: # cat /etc/pam.d/sshd #%PAM-1.0 auth required pam_google_authenticator.so auth required pam_userpass.so auth include common-login-use_first_pass account include common-login password include common-login session include common-login В sshd_config изменил одну строку # Change to yes to enable s/key passwords ChallengeResponseAuthentication yes Перезаупстил sshd. Кратко резюмирую ситуацию: если логиниться по сети, то ни один код не подходит, хоть в логах не пишется про ошибку с кодом, пишется только про "PAM: Application needs to call libpam again". если логиниться на локалхост из уже открытой сессии, и ввести ДВА раза подряд один и тот же валидный код, то доходит до запроса пароля, но пароль оказывается неправильным. Если вводить один раз код, то ничего не происходит, снова запрашивает код. Это у всех так, или я что-то неправильно готовлю? Хронология: пытаюсь по сети попасть на сервер: sshd[31113]: error: PAM: Application needs to call libpam again for alexei from 192.168.1.4 sshd(pam_google_authenticator)[31118]: Trying to reuse a previously used time-based code. Retry again in 30 seconds. Warning! This might mean, you are currently subject to a man-in-the-middle attack. sshd(pam_google_authenticator)[31118]: Invalid verification code sshd[31113]: error: PAM: Application needs to call libpam again for alexei from 192.168.1.4 хм... просроченный код. Ок, жду следующего, ввожу: sshd[31113]: error: PAM: Application needs to call libpam again for alexei from 192.168.1.4 sshd[31113]: Postponed keyboard-interactive for alexei from 192.168.1.4 port 42962 ssh2 [preauth] А нифига не работает. Ок, попытка номер два, в этот раз логин из уже залогиненной сессии sshd(pam_google_authenticator)[31352]: Failed to compute location of secret file sshd[31348]: error: PAM: Application needs to call libpam again for alexei from 127.0.0.1 sshd[31348]: error: PAM: Application needs to call libpam again for alexei from 127.0.0.1 и так далее. В итоге если ДВА раза подряд ввести правильный (не протухший во времени) код, то система запрашивает обычным запросом пароль пользователя, но даже правильный пароль не принимает! sshd[31348]: pam_tcb(sshd:auth): Authentication passed for alexei from (uid=0) sshd[31348]: Failed password for alexei from 127.0.0.1 port 54922 ssh2