← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #15985

Re: pam_listfiles ?

  Thread PreviousDate PreviousThread Next 
Mads Bondo Dydensborg wrote:
> Nogen der bare har det mindste hint?

Et hint kunne måske være /etc/pam.d/login fra en server, jeg 
administrerer:

#%PAM-1.0
auth       required     /lib/security/pam_securetty.so
auth       required     /lib/security/pam_nologin.so
auth       required     /lib/security/pam_listfile.so onerr=fail item=user sense=allow file=/etc/loginusers
auth       sufficient   /lib/security/pam_smb_auth.so
auth       required     /lib/security/pam_pwdb.so shadow nullok use_first_pass
account    required     /lib/security/pam_pwdb.so
password   required     /lib/security/pam_cracklib.so
password   required     /lib/security/pam_pwdb.so nullok use_authtok md5 shadow
session    required     /lib/security/pam_pwdb.so
session    optional     /lib/security/pam_console.so
session    required     /lib/security/pam_limits.so

Det er tredje linje, som er interessant. Som du ser, bruger jeg 
'required' i stedet for 'sufficient'. Som det nok kan regnes ud, 
definerer jeg i /etc/loginusers, hvem som må have lov at logge 
ind (hver bruger på en linje for sig; ved ikke, om dette er 
vigtigt).

Bemærk, at denne semantik er forskellig fra /etc/ftpusers. 
ftpusers-filen indeholder en liste over folk, der _ikke_ må logge
ind via FTP. Dette komplet kontra-logiske system er vist en gammel
unix-isme, som det kunne være rart at være foruden :-(


I øvrigt:

Linjen med pam_smb_auth handler om, at jeg har en Samba-server 
til at tjekke passwords for alm. brugere; hvis Samba-serveren 
siger OK, skippes systemets alm. password-tjek (baseret på 
/etc/passwd og /etc/shadow). Ignorér denne linje, hvis du ikke 
behøver en sådan struktur.

Sidste linje (med pam_limits) er også en ikke-standard-ting. Den 
lader mig sætte begrænsninger ang. maks memory-forbrug og lign. 
for sessionen. Begrænsningerne sætter jeg i 
/etc/security/limits.conf


Endelig:
Husk, at du også skal tilrette din pam-fil til ssh, hvis ssh 
skal køre samme checks. Med andre ord styrer /etc/pam.d/login
så vidt jeg ved kun telnet-logins.

-- 
Greetings from Troels Arvin, Copenhagen, Denmark

Follow ups

References

  Thread PreviousDate PreviousThread Next