Назад | Перейти на главную страницу

сбой аутентификации pam, но sudo и ssh работают

У меня нет опыта в отношении pam, так что простите меня, если это очевидная проблема или я даю неверную информацию.

У меня есть сервер gentoo, я не настраивал. Он выполняет аутентификацию через Kerberos. Проблема в том, что на этом сервере можно войти с неверным паролем и даже сделать sudo. Журнал выглядит так:

500 Jul 01 20:22:25 [sshd] pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=myhost  user=roessler
501 Jul 01 20:22:25 [sshd] pam_krb5(sshd:auth): authentication failure; logname=roessler uid=0 euid=0 tty=ssh ruser= rhost=myhost
502 Jul 01 20:22:25 [sshd] Accepted keyboard-interactive/pam for roessler from <my-IP> port <my-Port> ssh2
503 Jul 01 20:22:25 [sshd] pam_unix(sshd:session): session opened for user roessler by (uid=0)
504 Jul 01 20:22:35 [sudo] pam_unix(sudo:auth): authentication failure; logname=roessler uid=0 euid=0 tty=/dev/pts/0 ruser=roessler rhost=  user=roessler
505 Jul 01 20:22:35 [sudo] pam_krb5(sudo:auth): authentication failure; logname=roessler uid=0 euid=0 tty=/dev/pts/0 ruser=roessler rhost=
506 Jul 01 20:22:35 [sudo] roessler : TTY=pts/0 ; PWD=/home/roessler ; USER=root ; COMMAND=/bin/su
507 Jul 01 20:22:35 [sudo] pam_unix(sudo:session): session opened for user root by roessler(uid=0)
508 Jul 01 20:22:35 [su] Successful su for root by root

Я просмотрел соответствующие файлы конфигурации pam. Они указывают друг на друга, но в конечном итоге все сводится к следующему:

1 auth            required        pam_tally2.so onerr=succeed
2 auth            required        pam_shells.so
3 auth            required        pam_nologin.so
4 auth            include         system-auth

и (system-auth)

1 auth            required        pam_env.so
2 auth            required        pam_listfile.so onerr=fail item=group sense=allow file=/etc/login.group.allowed
3 auth            sufficient      pam_unix.so try_first_pass likeauth nullok
4 auth            sufficient      pam_krb5.so use_first_pass debug
5 auth            optional        pam_permit.so

Мне первая строка этой конфигурации кажется подозрительной, но есть еще один сервер с такой же конфигурацией, который отлично работает. Это даже заставляет меня задуматься, смотрю ли я в правильном направлении ...

Ценю любые подсказки!

Вы говорите, что есть другой сервер с такой же конфигурацией, который работает нормально ... но ваша авторизация такова, что неверный пароль unix и krb5 попадает в pam_permit, который всегда возвращает PAM_SUCCESS. Это плохо. Вместо pam_permit должно быть

auth        required      pam_deny.so