PAM не перехватывает SSH аутентификацию по ключу?

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модератор: SLEDopit

Ответить
Аватара пользователя
Stauffenberg
Сообщения: 2042
Статус: ☮ PEACE ☮
ОС: открытая и свободная

PAM не перехватывает SSH аутентификацию по ключу?

Сообщение Stauffenberg »

Всем привет.

Не верится, что SSH (в моем случае это OpenSSH) не сообщает PAM о подключении новых пользователях, если используются ключи, а не пароли. Так ли это?
Другими словами, SSH просто перепрыгивает PAM и создает новое соединение. PAM вообще не в курсе что происходит.

Конфигурация стандартная (любой GNU/Linux дистр).
Labor omnia vincit

"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: PAM не перехватывает SSH аутентификацию по ключу?

Сообщение Bizdelnick »

А кто он такой, этот PAM, чтобы ему о чём-то сообщать? Его дело — аутентифицировать пользователя, когда попросят. Если аутентифицируют без него, то да, он не при делах.
Можно попросить sshd всегда использовать PAM:

Код: Выделить всё

UsePAM yes
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Stauffenberg
Сообщения: 2042
Статус: ☮ PEACE ☮
ОС: открытая и свободная

Re: PAM не перехватывает SSH аутентификацию по ключу?

Сообщение Stauffenberg »

Bizdelnick писал(а):
14.02.2017 15:50
А кто он такой, этот PAM, чтобы ему о чём-то сообщать? Его дело — аутентифицировать пользователя, когда попросят. Если аутентифицируют без него, то да, он не при делах.
Можно попросить sshd всегда использовать PAM:

Код: Выделить всё

UsePAM yes

И после этого Вы видете в логах что-то о pam, когда кто-то конектится по ssh и использует при этом ключ?
Labor omnia vincit

"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: PAM не перехватывает SSH аутентификацию по ключу?

Сообщение Bizdelnick »

Да, вижу в auth.log:

Код: Выделить всё

Feb 14 16:36:18 hostname sshd[25974]: Accepted publickey for username from ww.xx.yy.zz port 35448 ssh2: RSA d5:98:97:bb:6d:71:a6:fc:96:62:5a:d5:8e:3b:08:f8
Feb 14 16:36:18 hostname sshd[25974]: pam_unix(sshd:session): session opened for user username by (uid=0)
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Stauffenberg
Сообщения: 2042
Статус: ☮ PEACE ☮
ОС: открытая и свободная

Re: PAM не перехватывает SSH аутентификацию по ключу?

Сообщение Stauffenberg »

Bizdelnick писал(а):
14.02.2017 16:39
Да, вижу в auth.log:

Код: Выделить всё

Feb 14 16:36:18 hostname sshd[25974]: Accepted publickey for username from ww.xx.yy.zz port 35448 ssh2: RSA d5:98:97:bb:6d:71:a6:fc:96:62:5a:d5:8e:3b:08:f8
Feb 14 16:36:18 hostname sshd[25974]: pam_unix(sshd:session): session opened for user username by (uid=0)

Хм, а если используете пароль (и пользователь не из LDAP и не используется sss) появляется сообщение pam_unix(sshd:auth) ?

Ок, значит ошибка наверное где-то на моей строное.
Labor omnia vincit

"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: PAM не перехватывает SSH аутентификацию по ключу?

Сообщение Bizdelnick »

Код: Выделить всё

Feb 14 17:40:55 hostname sshd[20386]: Accepted password for username from ww.xx.yy.zz port 37650 ssh2
Feb 14 17:40:55 hostname sshd[20386]: pam_unix(sshd:session): session opened for user username by (uid=0)
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Stauffenberg
Сообщения: 2042
Статус: ☮ PEACE ☮
ОС: открытая и свободная

Re: PAM не перехватывает SSH аутентификацию по ключу?

Сообщение Stauffenberg »

Нет, все же на своей системе я вижу pam_unix(sshd:auth) и pam_unix(sshd:session) в случае пароля и только pam_unix(sshd:session) в случае с ключем. Я следил только за auth, поэтому сначала и подумал, что PAM вообще не при делах.

Это конечно зависит от /etc/pam.d/sshd конфига.
Labor omnia vincit

"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20752
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: PAM не перехватывает SSH аутентификацию по ключу?

Сообщение Bizdelnick »

Конечно не будет сообщения об аутентификации, если используется ключ. sshd в таком случае сам аутентифицирует пользователя.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Аватара пользователя
Stauffenberg
Сообщения: 2042
Статус: ☮ PEACE ☮
ОС: открытая и свободная

Re: PAM не перехватывает SSH аутентификацию по ключу?

Сообщение Stauffenberg »

Bizdelnick писал(а):
15.02.2017 13:34
Конечно не будет сообщения об аутентификации, если используется ключ. sshd в таком случае сам аутентифицирует пользователя.

Да, меня просто смутило отсутствие auth при использовании пароля:
Bizdelnick писал(а):
14.02.2017 17:42

Код: Выделить всё

Feb 14 17:40:55 hostname sshd[20386]: Accepted password for username from ww.xx.yy.zz port 37650 ssh2
Feb 14 17:40:55 hostname sshd[20386]: pam_unix(sshd:session): session opened for user username by (uid=0)
Labor omnia vincit

"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
Спасибо сказали:
Ответить