pam_access

21/05/2014 - 10:00 von Michael Welle | Report spam
Hallo,

ich mache mich gerade ein bischen mit PAM schlau. ZB. will ich mit
pam_access Zugriffsrechte fuer ssh feinkoerniger modellieren, als dass
sshd es kann. Das funktioniert ganz gut. Ein Problem, dass ich noch
nicht genau verstehe, habe ich noch. Wenn einem account von einer
bestimmten Maschine aus den Zugriff verwehrt ist, wird offenbar erst
das Kennwort geprueft und danach zieht pam_access. D.h., man kann das
Kennwort raten. Hm, was mache ich falsch ;)?

VG
hmw


Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Archive: https://lists.debian.org/87y4xvsgvn.fsf@luisa.c0t0d0s0.de
 

Lesen sie die antworten

#1 Marco Maske
26/05/2014 - 13:20 | Warnen spam
Michael Welle schrieb:

ich mache mich gerade ein bischen mit PAM schlau. ZB. will ich mit
pam_access Zugriffsrechte fuer ssh feinkoerniger modellieren, als dass
sshd es kann. Das funktioniert ganz gut.



Mit pam kenne ich mich nicht so gut aus. Ist natürlich eleganter. Es gibt ja
immer unzàhlige Wege. SSH sicher ich vielfàltig u.a. mit:

# Authentication:
/etc/ssh/sshd_config
AllowUsers foo, bar

Ein Problem, dass ich noch
nicht genau verstehe, habe ich noch. Wenn einem account von einer
bestimmten Maschine aus den Zugriff verwehrt ist, wird offenbar erst
das Kennwort geprueft und danach zieht pam_access. D.h., man kann das
Kennwort raten. Hm, was mache ich falsch ;)?



Das o.g. geht auch gut mit hosts.allow & deny.

Beispiel:
hosts.allow
sshd : .example.net, 192.168. EXCEPT 192.168.1.1

In hosts.deny hab ich noch:
# Einbruchsversuche registrieren, schickt bei jedem verweigerten Zugriff
# auf einen Service eine Mail an den Administrator.
ALL : ALL : spawn ( /bin/echo -e "\
TCP Wrappers\: Connection refused\
By\: $(uname -n)\
Process\: %d (pid %p)\
User\: %u\
Host\: %c\
Date\: $(date)\
" | /usr/bin/mail -s "Connection to %d blocked" root ) &

Dazu noch dynamische Firewallregeln auf dem Gateway.


Ciao Marco!


Debian GNU/Linux
Diletantismus fliegt einem zu, Wissen nicht.
Es ist gut zu wissen, dass man alles wissen könnte.


Zum AUSTRAGEN schicken Sie eine Mail an
mit dem Subject "unsubscribe". Probleme? Mail an (engl)
Archive: https://lists.debian.org/

Ähnliche fragen