Назад | Перейти на главную страницу

Debian добавляет новый модуль PAM и требует его, даже если аутентификация по паролю не удалась?

У меня есть эти строки в /etc/pam.d/sshd:

# PAM configuration for the Secure Shell service

# Standard Un*x authentication.
@include common-auth

# Disallow non-root logins when /etc/nologin exists.
account    required     pam_nologin.so

# Uncomment and edit /etc/security/access.conf if you need to set complex
# access limits that are hard to express in sshd_config.
# account  required     pam_access.so

# Standard Un*x authorization.
@include common-account

# SELinux needs to be the first session rule.  This ensures that any
# lingering context has been cleared.  Without this it is possible that a
# module could execute code in the wrong domain.
session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so close

# Set the loginuid process attribute.
session    required     pam_loginuid.so

# Create a new session keyring.
session    optional     pam_keyinit.so force revoke

# Standard Un*x session setup and teardown.
@include common-session

# Print the message of the day upon successful login.
# This includes a dynamically generated part from /run/motd.dynamic
# and a static (admin-editable) part from /etc/motd.
session    optional     pam_motd.so  motd=/run/motd.dynamic
session    optional     pam_motd.so noupdate

# Print the status of the user's mailbox upon successful login.
session    optional     pam_mail.so standard noenv # [1]

# Set up user limits from /etc/security/limits.conf.
session    required     pam_limits.so

# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
session    required     pam_env.so # [1]
# In Debian 4.0 (etch), locale-related environment variables were moved to
# /etc/default/locale, so read that as well.
session    required     pam_env.so user_readenv=1 envfile=/etc/default/locale

# SELinux needs to intervene at login time to ensure that the process starts
# in the proper default security context.  Only sessions which are intended
# to run in the user's context should be run after this.
session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so open

# Standard Un*x password updating.
@include common-password

Сейчас я установил гугл-аутентификатор и добавил auth required /usr/local/lib/security/pam_google_authenticator.so authtok_prompt=TOTP? в конец этого файла. Теперь это работает, но если я ввел неверный пароль, аутентификация сразу же завершится неудачно, без запроса OTP.

Я хочу, чтобы, если какой-либо из введенных значений неверен, система все равно запрашивала другой, а затем выводила «Доступ запрещен» (нет запроса, какой из них неверен).

Согласно документации выше, имеет модуль OTP и pam_unix.so установить как required должен делать свою работу. Но похоже, что в моей системе pam_unix.so находится внутри другого файла (@include common-password). Вот содержимое этого файла:

#
# /etc/pam.d/common-password - password-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define the services to be
# used to change user passwords.  The default is pam_unix.

# Explanation of pam_unix options:
#
# The "sha512" option enables salted SHA512 passwords.  Without this option,
# the default is Unix crypt.  Prior releases used the option "md5".
#
# The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
# login.defs.
#
# See the pam_unix manpage for other options.

# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
password        [success=1 default=ignore]      pam_unix.so obscure sha512
# here's the fallback if no module succeeds
password        requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password        required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config

Я не знаю, следует ли мне изменять этот файл, потому что похоже, что от него все еще зависит другой файл, и я хочу, чтобы модуль OTP работал только в сеансах SSH. Что мне нужно изменить? Любая помощь приветствуется.

Вероятно, у вас в common-auth следующие строки:

auth    [success=1 default=ignore]  pam_unix.so nullok_secure
auth    requisite                   pam_deny.so
auth    required                    pam_permit.so

В случае сбоя пароля в pam_unix, PAM перейдет на следующую строку, что является безусловным отказом и реквизит поэтому аутентификация здесь останавливается. В случае правильной аутентификации вторая строка будет пропущена.

Вероятно, вы захотите заменить @include common-auth с участием:

auth    required    pam_unix.so nullok_secure
auth    required    /usr/local/lib/security/pam_google_authenticator.so authtok_prompt=TOTP?

и добавить некоторые другие модули из common-auth (pam_cap.so?).