高手请进 ：PAM 相关问题

ailms

虽然修改的是 /etc/pam.d/chsh ，但 /etc/security/access.conf 不就是用于限制登录的吗？

虽然没有修改 /etc/pam.d/login 或者 sshd 文件，但 chsh 也会参照 /etc/security/access.conf 中的规则，检查用户

的来源不是吗？这难道不算是与登录有关吗？

ailms

或者说是当前的 access.conf 对“登录方面”没有影响，但会影响 chsh 的行为，这样对吗？

kenduest

原帖由 ailms 于 2007-10-11 23:04 发表
雖然修改的是 /etc/pam.d/chsh ，但 /etc/security/access.conf 不就是用於限制登錄的嗎？

雖然沒有修改 /etc/pam.d/login 或者 sshd 文件，但 chsh 也會參照 /etc/security/access.conf 中的規則，檢查用戶

的來源不是嗎？這難道不算是與登錄有關嗎？

pam 驗證有說只有與登錄有關嗎？我想答案是否定的吧。

你執行 chsh 時，該 chsh 才使用 pam 來驗證登入，不是嗎 ? 那既然如此的話，所以改 /etc/pam.d/chsh 時，表示你要執行 chsh 程式才開始 pam 的驗證判斷動作。

/etc/pam.d/chsh 設定使用像是:

1. 
   
2. #%PAM-1.0
   
3. auth       sufficient   pam_rootok.so
   
4. auth       required     pam_access.so accessfile=/etc/security/access-chsh.conf
   
5. auth       include      system-auth
   
6. account    include      system-auth
   
7. password   include      system-auth
   
8. session    include      system-auth
   

复制代码

這不表示指定使用 /etc/security/access-chsh.conf 的設定，那你在 access-chsh.conf 內的設定，像是使用:

1. - : kendlee2: ALL EXCEPT tty1

复制代码

這樣簡單說，登入系統後若是執行 chsh 的話，會判斷是否位於要求的 tty 內。上面設定只有允許 tty1 可以讓 pam 驗證返回成功，簡單說就是 kendlee2 哪邊登入基本上是不限制的，但是只有要求 tty1 登入的 kendlee2 帳號後續若是要執行 chsh 才允許，非 tty1 的 kendlee2 登入帳號拒絕使用 chsh。

--

ailms

上面設定只有允許 tty1 可以讓 pam 驗證返回成功，簡單說就是 kendlee2 哪邊登入基本上是不限制的，但是只有要求 tty1 登入的 kendlee2 帳號後續若是要執行 chsh 才允許，非 tty1 的 kendlee2 登入帳號拒絕使用 chsh。

kendust 兄，我按照你的设置做了一次，结果和我之前的一样，即使 bob 在 tty1 登录后执行 chsh 也报错

也是直接报 ‘password error’。

1. 
   
2. [root@mail pam.d]# tail -1 /etc/security/access.conf
   
3. -:bob:ALL EXCEPT tty1
   
4. [root@mail pam.d]#
   

复制代码

1. 
   
2. [root@mail pam.d]# cat /etc/pam.d/chsh
   
3. #%PAM-1.0
   
4. auth       sufficient   pam_rootok.so
   
5. auth       requisite    pam_access.so
   
6. auth       required     pam_stack.so service=system-auth
   
7. auth       requisite    pam_access.so
   
8. account    required     pam_stack.so service=system-auth
   
9. password   required     pam_stack.so service=system-auth
   
10. session    required     pam_stack.so service=system-auth
    
11. [root@mail pam.d]#
    

复制代码

而且 /var/log/messages 出现

Oct 11 23:19:16 mail chsh: PAM unable to resolve symbol: pam_sm_authenticate
Oct 11 23:19:16 mail chsh: PAM unable to resolve symbol: pam_sm_setcred

[ 本帖最后由 ailms 于 2007-10-11 23:20 编辑 ]

ailms

即使把 requisite 改为 required ，会出现提示输入口令，

但输入正确口令后还是显示 ‘password error’

kenduest

原帖由 ailms 于 2007-10-11 23:21 发表
即使把 requisite 改为 required ，会出现提示输入口令，

但输入正确口令后还是显示 ‘password error’

1. 你似乎還是沒說清楚你哪些 pam 設定檔案有引入使用 access.so 該 pam module。但是我的意思是說，若你直接改的是 /etc/security/access.conf 內怕會讓其他程式的也會受到干擾的話，指定使用 accesss-chsh.conf 這類檔案即可。

2. 使用 access.so 該 pam module 在 /etc/pam.d/chsh 內，設定好 pam 驗證失敗當然都會出現 password error，這是免不了的。

--

ailms

1. 你似乎還是沒說清楚你哪些 pam 設定檔案有引入使用 access.so 該 pam module。但是我的意思是說，若你直接改的是 /etc/security/access.conf 內怕會讓其他程式的也會受到干擾的話，指定使用 accesss-chsh.conf 這類檔案即可。

目前只有 /etc/pam.d/chsh 而已。其他都没动

2、改为 accessfile=/etc/security/access-chs.conf 还是一样的结果

3、为什么 bob 在 tty1 登录后执行 chsh ，pam_access.so 不是返回 success ，不是只有 tt1 才能返回 success 吗？

kenduest

我不懂你目前的意思，但是我剛剛的設定多台 linux 測試過都正確工作 ( mdk 2006,2007)。設定好 kendlee2 帳號登入後只有 tty1 登入的情況才可以跑 chsh 變更 shell，要不然都失敗.

所謂失敗就是 chsh 執行後會提示輸出密碼，但是密碼輸入正確後還是顯示密碼錯誤的訊息，表示已經可以限制成功拒絕使用 chsh 變更 shell。

--

ailms

哦，不过我的 bob 在 tty1 怎么就不能执行 chsh 呢？郁闷啊

至于其他方式登录，就是和你所说的一样，即使输入正确也提示密码错误

ailms

在  Turbo Linux 上试了也一样，就改两个地方 ：

1）/etc/security/access-chsh.conf ：-:bob:ALL EXCEPT tty1

2）/etc/pam.d/chsh ：加入 atuh required pam_access.so accessfile=/etc/security/access-chsh.conf

没了