[Comm] ssh, pam, empty passwords

Michael A. Kangin mak на complife.ru
Ср Фев 21 01:27:00 MSK 2018


Здравствуйте.

Обнаружилось, что если у пользователя пустой пароль, то:
- sshd не пускает с пустым паролем, потому что PermitEmptyPasswords no,
- sshd пускает с _любым_ непустым паролем, наверное потому что везде 
nullok в PAM'ах.
sshd[2995]: pam_tcb(sshd:auth): Authentication passed for altlinux from 
(uid=0)


В мире существует такая интересная опция, как nullok_secure:
The default action of this module is to not permit the user access
to a service if their official password is blank. The nullok_secure
argument overrides this default and allows any user with a blank
password to access the service as long as the value of PAM_TTY is
set to one of the values found in /etc/securetty.

А у нас почему-то нет:
sshd[2921]: pam_tcb(sshd:auth): Unrecognized option: nullok_secure


как быть? хотелось бы, чтобы пользователь с пустым паролем не мог 
залогиниться по SSH, но мог с консоли.
при этом полностью отключать аутентификацию по паролям нежелательно.


Подробная информация о списке рассылки community