PAM не перехватывает SSH аутентификацию по ключу?
Модератор: SLEDopit
- Stauffenberg
- Сообщения: 2042
- Статус: ☮ PEACE ☮
- ОС: открытая и свободная
PAM не перехватывает SSH аутентификацию по ключу?
Всем привет.
Не верится, что SSH (в моем случае это OpenSSH) не сообщает PAM о подключении новых пользователях, если используются ключи, а не пароли. Так ли это?
Другими словами, SSH просто перепрыгивает PAM и создает новое соединение. PAM вообще не в курсе что происходит.
Конфигурация стандартная (любой GNU/Linux дистр).
Не верится, что SSH (в моем случае это OpenSSH) не сообщает PAM о подключении новых пользователях, если используются ключи, а не пароли. Так ли это?
Другими словами, SSH просто перепрыгивает PAM и создает новое соединение. PAM вообще не в курсе что происходит.
Конфигурация стандартная (любой GNU/Linux дистр).
Labor omnia vincit
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: PAM не перехватывает SSH аутентификацию по ключу?
А кто он такой, этот PAM, чтобы ему о чём-то сообщать? Его дело — аутентифицировать пользователя, когда попросят. Если аутентифицируют без него, то да, он не при делах.
Можно попросить sshd всегда использовать PAM:
Можно попросить sshd всегда использовать PAM:
Код: Выделить всё
UsePAM yes
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Спасибо сказали:
- Stauffenberg
- Сообщения: 2042
- Статус: ☮ PEACE ☮
- ОС: открытая и свободная
Re: PAM не перехватывает SSH аутентификацию по ключу?
Bizdelnick писал(а): ↑14.02.2017 15:50А кто он такой, этот PAM, чтобы ему о чём-то сообщать? Его дело — аутентифицировать пользователя, когда попросят. Если аутентифицируют без него, то да, он не при делах.
Можно попросить sshd всегда использовать PAM:Код: Выделить всё
UsePAM yes
И после этого Вы видете в логах что-то о pam, когда кто-то конектится по ssh и использует при этом ключ?
Labor omnia vincit
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: PAM не перехватывает SSH аутентификацию по ключу?
Да, вижу в auth.log:
Код: Выделить всё
Feb 14 16:36:18 hostname sshd[25974]: Accepted publickey for username from ww.xx.yy.zz port 35448 ssh2: RSA d5:98:97:bb:6d:71:a6:fc:96:62:5a:d5:8e:3b:08:f8
Feb 14 16:36:18 hostname sshd[25974]: pam_unix(sshd:session): session opened for user username by (uid=0)
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Stauffenberg
- Сообщения: 2042
- Статус: ☮ PEACE ☮
- ОС: открытая и свободная
Re: PAM не перехватывает SSH аутентификацию по ключу?
Bizdelnick писал(а): ↑14.02.2017 16:39Да, вижу в auth.log:Код: Выделить всё
Feb 14 16:36:18 hostname sshd[25974]: Accepted publickey for username from ww.xx.yy.zz port 35448 ssh2: RSA d5:98:97:bb:6d:71:a6:fc:96:62:5a:d5:8e:3b:08:f8 Feb 14 16:36:18 hostname sshd[25974]: pam_unix(sshd:session): session opened for user username by (uid=0)
Хм, а если используете пароль (и пользователь не из LDAP и не используется sss) появляется сообщение pam_unix(sshd:auth) ?
Ок, значит ошибка наверное где-то на моей строное.
Labor omnia vincit
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: PAM не перехватывает SSH аутентификацию по ключу?
Код: Выделить всё
Feb 14 17:40:55 hostname sshd[20386]: Accepted password for username from ww.xx.yy.zz port 37650 ssh2
Feb 14 17:40:55 hostname sshd[20386]: pam_unix(sshd:session): session opened for user username by (uid=0)
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Stauffenberg
- Сообщения: 2042
- Статус: ☮ PEACE ☮
- ОС: открытая и свободная
Re: PAM не перехватывает SSH аутентификацию по ключу?
Нет, все же на своей системе я вижу pam_unix(sshd:auth) и pam_unix(sshd:session) в случае пароля и только pam_unix(sshd:session) в случае с ключем. Я следил только за auth, поэтому сначала и подумал, что PAM вообще не при делах.
Это конечно зависит от /etc/pam.d/sshd конфига.
Это конечно зависит от /etc/pam.d/sshd конфига.
Labor omnia vincit
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
- Bizdelnick
- Модератор
- Сообщения: 20752
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: PAM не перехватывает SSH аутентификацию по ключу?
Конечно не будет сообщения об аутентификации, если используется ключ. sshd в таком случае сам аутентифицирует пользователя.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
- Stauffenberg
- Сообщения: 2042
- Статус: ☮ PEACE ☮
- ОС: открытая и свободная
Re: PAM не перехватывает SSH аутентификацию по ключу?
Bizdelnick писал(а): ↑15.02.2017 13:34Конечно не будет сообщения об аутентификации, если используется ключ. sshd в таком случае сам аутентифицирует пользователя.
Да, меня просто смутило отсутствие auth при использовании пароля:
Bizdelnick писал(а): ↑14.02.2017 17:42Код: Выделить всё
Feb 14 17:40:55 hostname sshd[20386]: Accepted password for username from ww.xx.yy.zz port 37650 ssh2 Feb 14 17:40:55 hostname sshd[20386]: pam_unix(sshd:session): session opened for user username by (uid=0)
Labor omnia vincit
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)
"Debugging is twice as hard as writing the code in the first place.
Therefore, if you write the code as cleverly as possible, you are, by definition, not smart enough to debug it.” (Brian Kernighan)