[Comm] ssh, pam, empty passwords
Michael A. Kangin
mak на complife.ru
Ср Фев 21 01:27:00 MSK 2018
Здравствуйте.
Обнаружилось, что если у пользователя пустой пароль, то:
- sshd не пускает с пустым паролем, потому что PermitEmptyPasswords no,
- sshd пускает с _любым_ непустым паролем, наверное потому что везде
nullok в PAM'ах.
sshd[2995]: pam_tcb(sshd:auth): Authentication passed for altlinux from
(uid=0)
В мире существует такая интересная опция, как nullok_secure:
The default action of this module is to not permit the user access
to a service if their official password is blank. The nullok_secure
argument overrides this default and allows any user with a blank
password to access the service as long as the value of PAM_TTY is
set to one of the values found in /etc/securetty.
А у нас почему-то нет:
sshd[2921]: pam_tcb(sshd:auth): Unrecognized option: nullok_secure
как быть? хотелось бы, чтобы пользователь с пустым паролем не мог
залогиниться по SSH, но мог с консоли.
при этом полностью отключать аутентификацию по паролям нежелательно.
Подробная информация о списке рассылки community