forum.opennet.ru - "PAM: чего то не понимаю..." (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"PAM: чего то не понимаю..."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"PAM: чего то не понимаю..."
Сообщение от Devian on 06-Мрт-02, 16:58 (MSK)
RedHat 6.2, PAM аутентификация.. Для того, чтобы получить права суперпользователя могли получить только члены группы root, в файле /etc/pam.d/su прописываем строку: auth required /lib/security/pam_wheel.so Если этой строчки нет, суперюзером может стать член любой группы, но когда пишу эту строчку, суперпользователем не может стать никто, даже член группы root. Почему?? Может у кого-нибудь есть какие-то версии?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: PAM: чего то не понимаю..., Sampan, 01:41 , 07-Мрт-02, (1)
- RE: PAM: чего то не понимаю..., Soldier, 09:17 , 07-Мрт-02, (2)
  - RE: PAM: чего то не понимаю..., Devian, 11:22 , 07-Мрт-02, (3)
    - Дело было в следующем:, devian, 11:32 , 07-Мрт-02, (4)
      - RE: Дело было в следующем:, Soldier, 15:38 , 07-Мрт-02, (5)
        
        RE: Дело было в следующем:, devian, 18:41 , 07-Мрт-02, (6)
        
        RE: Дело было в следующем:, Soldier, 17:24 , 08-Мрт-02, (7)
        
        Soldier-u, Dmitry Z., 12:57 , 22-Апр-02, (8)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: PAM: чего то не понимаю..."

Сообщение от Sampan on 07-Мрт-02, 01:41  (MSK)

>только члены группы root
Вот здесь ошибка. Правильно будет "только члены группы wheel"
>auth required /lib/security/pam_wheel.so
Соответственно, после добавления этой строчки в pam.d/su нужно внести юзеров, которым разрешено делать su, в группу wheel

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: PAM: чего то не понимаю..."

Сообщение от Soldier on 07-Мрт-02, 09:17  (MSK)

>>только члены группы root
>Вот здесь ошибка. Правильно будет "только
>члены группы wheel"
>
>>auth required /lib/security/pam_wheel.so
>
>Соответственно, после добавления этой строчки в
>pam.d/su нужно внести юзеров, которым
>разрешено делать su, в группу
>wheel
Po moemu vi oshibaetes' - ya sam tolkom ne razbiraslya v etih pam-ah, no...
V komentariyah pered strochkoy
auth required /lib/security/pam_wheel.so
v faile /etc/pad.d/su napisano, chto dostatochno raskomentirovat'  etu stroku chtobi reshit' ukazannuyu problemu. No krome etogo nado zanesti sootvetsvuyuschego pol'zovatelya v gruppu root. Prichem sdelat' eto nado ne tol'ko, skoree dazhe ne stol'ko v /etc/passwd, no i v faile /etc/group. T.e. dopustim vi hotite, chtobi pol'zovatel' nekto mog zapuskat' su, togda v /etc/group  nado imet' stroku tipa:
root:x:0:nekto
Tak chto vozmozno problema imenno v etom.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: PAM: чего то не понимаю..."

Сообщение от Devian on 07-Мрт-02, 11:22  (MSK)

>>>только члены группы root
>>Вот здесь ошибка. Правильно будет "только
>>члены группы wheel"
>>
>>>auth required /lib/security/pam_wheel.so
>>
>>Соответственно, после добавления этой строчки в
>>pam.d/su нужно внести юзеров, которым
>>разрешено делать su, в группу
>>wheel
>Po moemu vi oshibaetes' - ya
>sam tolkom ne razbiraslya v
>etih pam-ah, no...
>
>V komentariyah pered strochkoy
>
>auth required /lib/security/pam_wheel.so
>
>v faile /etc/pad.d/su napisano, chto dostatochno
>raskomentirovat'  etu stroku chtobi
>reshit' ukazannuyu problemu. No krome
>etogo nado zanesti sootvetsvuyuschego pol'zovatelya
>v gruppu root. Prichem sdelat'
>eto nado ne tol'ko, skoree
>dazhe ne stol'ko v /etc/passwd,
>no i v faile /etc/group.
>T.e. dopustim vi hotite, chtobi
>pol'zovatel' nekto mog zapuskat' su,
>togda v /etc/group  nado
>imet' stroku tipa:
>
>root:x:0:nekto
>
>Tak chto vozmozno problema imenno v
>etom.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Дело было в следующем:"

Сообщение от devian on 07-Мрт-02, 11:32  (MSK)

Я ручками поправил /etc/group, но это не помогло. Я написал команду  usermode -G10 test, чтобы присвоить номер нужной группы пользоваиелю test и все заработало. Скорее всего где-то опечатку допустил, когда правил...
Еще один мелкий вопрос появился. Нужно сделать доступ к серверу через РАМ только с одного IP.
access.conf контролирует модуль pam_access, который определяет не только кто может зайти на сервер, но и откуда. Я прописал правила в access.conf на доступ с определенного адреса, но результата никакого- на сервер по-прежнему можно зайти с любого адреса. Я предполагаю, что нужно указать строчку
account required /lib/security/pam_access.so
в /etc/pam.d/login, но, скорее всего и еще где-то, потому что не помогает.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Дело было в следующем:"

Сообщение от Soldier on 07-Мрт-02, 15:38  (MSK)

>Еще один мелкий вопрос появился. Нужно
>сделать доступ к серверу через
>РАМ только с одного IP.
>
>access.conf контролирует модуль pam_access, который определяет
>не только кто может зайти
>на сервер, но и откуда.
>Я прописал правила в access.conf
>на доступ с определенного адреса,
>но результата никакого- на сервер
>по-прежнему можно зайти с любого
>адреса. Я предполагаю, что нужно
>указать строчку
>account required /lib/security/pam_access.so
>в /etc/pam.d/login, но, скорее всего и
>еще где-то, потому что не
>помогает.
Kak uzhe govoril, ne razbiralsya  ya mnogo s pam-om.
V obschem  sdelal  tak (Linux Debian):
Raskomentiroval  stroku
>account required /lib/security/pam_access.so
v  pam.d/login.
V   accsess.conf polozhil dve stroki:
-:ALL EXCEPT :ALL EXCEPT LOCAL  host
-:ALL EXCEPT  someuser:host
Kogda stavil IP v yavnom vide - pochemu-to ne srabativalo, poetomu propisal host
v /etc/hosts . Poka rabotaet dlya telnet - udaleno puskaet tol'ko user-a someuser i
tol'ko s kompa host. Dlya ftp (proftp) i  ssh  mozhno propisat'  komu i otkuda mozhno  v ih
konfigurastionnih failah (AllowUsers  someuser@host - zdes' mozhno ukazat' IP v
yavnom vide)

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Дело было в следующем:"

Сообщение от devian on 07-Мрт-02, 18:41  (MSK)

В access.conf я написал так (вроде работает):
+ : ALL : IP
- : ALL : ALL
Вначале я написал только первую строчку, думад что остальным будет deny, но так не работало.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Дело было в следующем:"

Сообщение от Soldier on 08-Мрт-02, 17:24  (MSK)

>В access.conf я написал так (вроде
>работает):
>
>+ : ALL : IP
>- : ALL : ALL
Prosto ya dumal chto nado razreshit' opredelennim pol'zovatelyam s opredelennogo IP -  zdes' zhe s dannogo IP mozhet zayti lyuboy.

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Soldier-u"

Сообщение от Dmitry Z. on 22-Апр-02, 12:57  (MSK)

Привет!
слушай, прочет твой постинг - все ОК!
телнет закрывается железно ! ;-)
но вот с PROFTPD - никак !
пишу там
AllowUser dima@195.62.111.111 (допустим мой ИП)
-
не пускает вообще !
и так тоже
AllowUser dima:195.62.111.111
Хост прописан в /etc/hosts
и алиас писал
AllowUser dima:/@MyHostAlias
все равно не пускает...
Нужно писать только так -
AllowUser dima
чтобы отовсюду...
а хотелось бы только с моего адреса, например,
или со списка адресов...
Помоги плиз...

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: PAM: чего то не понимаю..."
Сообщение от Sampan on 07-Мрт-02, 01:41 (MSK)
>только члены группы root Вот здесь ошибка. Правильно будет "только члены группы wheel" >auth required /lib/security/pam_wheel.so Соответственно, после добавления этой строчки в pam.d/su нужно внести юзеров, которым разрешено делать su, в группу wheel
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: PAM: чего то не понимаю..."
	Сообщение от Soldier on 07-Мрт-02, 09:17 (MSK)
	>>только члены группы root >Вот здесь ошибка. Правильно будет "только >члены группы wheel" > >>auth required /lib/security/pam_wheel.so > >Соответственно, после добавления этой строчки в >pam.d/su нужно внести юзеров, которым >разрешено делать su, в группу >wheel Po moemu vi oshibaetes' - ya sam tolkom ne razbiraslya v etih pam-ah, no... V komentariyah pered strochkoy auth required /lib/security/pam_wheel.so v faile /etc/pad.d/su napisano, chto dostatochno raskomentirovat' etu stroku chtobi reshit' ukazannuyu problemu. No krome etogo nado zanesti sootvetsvuyuschego pol'zovatelya v gruppu root. Prichem sdelat' eto nado ne tol'ko, skoree dazhe ne stol'ko v /etc/passwd, no i v faile /etc/group. T.e. dopustim vi hotite, chtobi pol'zovatel' nekto mog zapuskat' su, togda v /etc/group nado imet' stroku tipa: root:x:0:nekto Tak chto vozmozno problema imenno v etom.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: PAM: чего то не понимаю..."
	Сообщение от Devian on 07-Мрт-02, 11:22 (MSK)
	>>>только члены группы root >>Вот здесь ошибка. Правильно будет "только >>члены группы wheel" >> >>>auth required /lib/security/pam_wheel.so >> >>Соответственно, после добавления этой строчки в >>pam.d/su нужно внести юзеров, которым >>разрешено делать su, в группу >>wheel >Po moemu vi oshibaetes' - ya >sam tolkom ne razbiraslya v >etih pam-ah, no... > >V komentariyah pered strochkoy > >auth required /lib/security/pam_wheel.so > >v faile /etc/pad.d/su napisano, chto dostatochno >raskomentirovat' etu stroku chtobi >reshit' ukazannuyu problemu. No krome >etogo nado zanesti sootvetsvuyuschego pol'zovatelya >v gruppu root. Prichem sdelat' >eto nado ne tol'ko, skoree >dazhe ne stol'ko v /etc/passwd, >no i v faile /etc/group. >T.e. dopustim vi hotite, chtobi >pol'zovatel' nekto mog zapuskat' su, >togda v /etc/group nado >imet' stroku tipa: > >root:x:0:nekto > >Tak chto vozmozno problema imenno v >etom.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Дело было в следующем:"
	Сообщение от devian on 07-Мрт-02, 11:32 (MSK)
	Я ручками поправил /etc/group, но это не помогло. Я написал команду usermode -G10 test, чтобы присвоить номер нужной группы пользоваиелю test и все заработало. Скорее всего где-то опечатку допустил, когда правил... Еще один мелкий вопрос появился. Нужно сделать доступ к серверу через РАМ только с одного IP. access.conf контролирует модуль pam_access, который определяет не только кто может зайти на сервер, но и откуда. Я прописал правила в access.conf на доступ с определенного адреса, но результата никакого- на сервер по-прежнему можно зайти с любого адреса. Я предполагаю, что нужно указать строчку account required /lib/security/pam_access.so в /etc/pam.d/login, но, скорее всего и еще где-то, потому что не помогает.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: Дело было в следующем:"
	Сообщение от Soldier on 07-Мрт-02, 15:38 (MSK)
	>Еще один мелкий вопрос появился. Нужно >сделать доступ к серверу через >РАМ только с одного IP. > >access.conf контролирует модуль pam_access, который определяет >не только кто может зайти >на сервер, но и откуда. >Я прописал правила в access.conf >на доступ с определенного адреса, >но результата никакого- на сервер >по-прежнему можно зайти с любого >адреса. Я предполагаю, что нужно >указать строчку >account required /lib/security/pam_access.so >в /etc/pam.d/login, но, скорее всего и >еще где-то, потому что не >помогает. Kak uzhe govoril, ne razbiralsya ya mnogo s pam-om. V obschem sdelal tak (Linux Debian): Raskomentiroval stroku >account required /lib/security/pam_access.so v pam.d/login. V accsess.conf polozhil dve stroki: -:ALL EXCEPT :ALL EXCEPT LOCAL host -:ALL EXCEPT someuser:host Kogda stavil IP v yavnom vide - pochemu-to ne srabativalo, poetomu propisal host v /etc/hosts . Poka rabotaet dlya telnet - udaleno puskaet tol'ko user-a someuser i tol'ko s kompa host. Dlya ftp (proftp) i ssh mozhno propisat' komu i otkuda mozhno v ih konfigurastionnih failah (AllowUsers someuser@host - zdes' mozhno ukazat' IP v yavnom vide)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: Дело было в следующем:"
	Сообщение от devian on 07-Мрт-02, 18:41 (MSK)
	В access.conf я написал так (вроде работает): + : ALL : IP - : ALL : ALL Вначале я написал только первую строчку, думад что остальным будет deny, но так не работало.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: Дело было в следующем:"
	Сообщение от Soldier on 08-Мрт-02, 17:24 (MSK)
	>В access.conf я написал так (вроде >работает): > >+ : ALL : IP >- : ALL : ALL Prosto ya dumal chto nado razreshit' opredelennim pol'zovatelyam s opredelennogo IP - zdes' zhe s dannogo IP mozhet zayti lyuboy.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Soldier-u"
	Сообщение от Dmitry Z. on 22-Апр-02, 12:57 (MSK)
	Привет! слушай, прочет твой постинг - все ОК! телнет закрывается железно ! ;-) но вот с PROFTPD - никак ! пишу там AllowUser dima@195.62.111.111 (допустим мой ИП) - не пускает вообще ! и так тоже AllowUser dima:195.62.111.111 Хост прописан в /etc/hosts и алиас писал AllowUser dima:/@MyHostAlias все равно не пускает... Нужно писать только так - AllowUser dima чтобы отовсюду... а хотелось бы только с моего адреса, например, или со списка адресов... Помоги плиз...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх