pam_tally jeszcze raz ..

Tomasz Kłoczko kloczek w rudy.mif.pg.gda.pl
Wto, 24 Lis 1998, 06:13:31 CET 

Jednak działa. Poprostu miałem tyle nieprawidłowych wejść, że juz wpuścić
nie chciało (czy tu nie można podstawić jakiegoś innego komunikatu po za
Permision denied .. kontekstowo ?).

Obecny plik jaki trenuję do ssh to:

#%PAM-1.0
auth       optional     /lib/security/pam_mail.so
auth       required     /lib/security/pam_pwdb.so shadow
auth       required     /lib/security/pam_tally.so no_magic_root
#auth       required     /lib/security/pam_krb5.so
account    required     /lib/security/pam_pwdb.so
password   required     /lib/security/pam_cracklib.so
password   required     /lib/security/pam_pwdb.so shadow nullok use_authtok
session    required     /lib/security/pam_pwdb.so
session    required     /lib/security/pam_env.so
session    required     /lib/security/pam_lastlog.so
session    required     /lib/security/pam_limits.so
account    required     /lib/security/pam_tally.so deny=3 no_magic_root reset

i wygląda na to, że i limity także działają. Pozostają jeszcze kwestie:
- jak kasować liczniki failloga (poleceniem faillog jakoś mi to nie
  wychodziło), Po za tym 3 nieprawidłowe wejścia to może być mało (trzeba
  będzie chyba ustalić domyślnie coś więcej .. 10 ?)
- nie działa nadal pam_env .. chyba, że powyżej jeszcze coś jest nie tak
  :>
- pam_mail i pam_lastlog także nie diałają .. chyba, że jw.
- kwestia używania pam_cracklib poza passwd (IMHO tylko w passwd).

I jeszcze jedno zapytanie związane z powyższym. Wydaje mi się, że
parametry shadow nie są potrzebne czyż nie ? (jeszcze nie sprawdzałem) ale
na chłopski rozum to takie rzeczy jak parametry shadow i md5 powinny być
tylko w passwd.

Podrasowane ssh z powyższym plikiem zaraz wrzucę na test ale ostrożnie z
faillog bo jak na razie to jedynym rozwiązaniem jest wykasowanie pliku
/var/log/faillog, a i jeszcze jedno związane z faillo .. otóż ten plik
musi istnieć i nie jest wtorzony przez tally, bo inaczej nie wpóści
(trzeba bedzie to gdzieś dodać w postaci %ghost .. do setup lub do pam lub
shadow-utils).

A zapomniałbym .. ssh z cenzora (z supported) nie jest skompilowane z pam.
Powód jest prostu, otóż przed konfigurowaniem źródeł było wywoływane
autoreconf, który jednak nie aktualizuje configure po patchowaniu na
pam-a. Trzeba dodać albo --force żeby mieć pewnoć że to na prewno wszędzie
zadziała do tego autoreconf lub wywołać autoconf (ja wybrałem to
pierwsze).

Także w %changelog tymczasowo znalazło się:
- adedd --force for autoreconf parameter (on sam places autoreconf
  without this don't rebuild configure),
- added enhanced /etc/pam.d/ssh witch use pam_env, pam_tally and others,
- added "Requires: /etc/tcpd" because binary sshd is linked with libwrap
  witch use /etc/tcpd/hosts.{allow,deny}.

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*

Więcej informacji o liście dyskusyjnej pld-devel-pl