Вопросы Теги

Настройка FTP PAM для VSFTPD

Хорошо. Я знаю, что это один из наиболее часто задаваемых вопросов вопросы здесь.Но большинство ответов либо говорят мне добавить логин к разрешенным оболочкам (нет ... не делаю этого), либо отключать SELinux (чего у меня нет - Ubuntu Server 16.04 RPi3).

Другой вариант был замечен установка моего pam_service_name на ftp . Хорошо, это сработало! Но затем я прочитал, что это позволяет любому войти в систему, поскольку это просто обход службы PAM. Итак, я подумал, давайте создадим файл с именем ftp в каталоге /etc/pam.d/ и поработаем с ним.

Я заполнил файл следующим образом: 

auth       required     /lib/arm-linux-gnueabihf/security/pam_nologin.so
account    required     /lib/arm-linux-gnueabihf/security/pam_unix.so
password   required     /lib/arm-linux-gnueabihf/security/pam_unix.so

Я чего-то упускаю, не знаю чего. Это первый раз, когда я возился с PAM, поэтому, честно говоря, я понятия не имею, что делаю.

Я хочу, чтобы пользователи unix только с оболочкой nologin могли аутентифицироваться с помощью ] vsftpd .

С уважением

0
задан 17 September 2018 в 09:23
1 ответ

Прочитав несколько статей, я немного понял, как работает PAM.

Файлы в /etc/pam.d в основном представляют собой список условий, которые проверяются, когда этот модуль / сервис используется. Поэтому, когда я устанавливаю содержимое файла /etc/pam.d/ftp на следующее: 

auth    required    pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
auth    required    pam_succeed_if.so quiet user ingroup ftp
auth    required    pam_succeed_if.so quiet shell = /usr/sbin/nologin

я получаю то, что мне нужно, т.е. только пользователи UNIX, которые находятся в ftp Сгруппируйте с nologin как оболочка, которая может войти в систему.

Объяснение того, что делает каждая строка:

  1. IF USER в / etc / ftpusers файле THEN ] ОТКАЗАТЬ ЛИБО РАЗРЕШИТЬ и НАЙТИ следующее ПРАВИЛО
  2. ЕСЛИ ПОЛЬЗОВАТЕЛЬ в ГРУППЕ ftp ТОГДА РАЗРЕШИТЬ и НАЙТИ следующее ПРАВИЛО ИНАЧЕ ОТКАЗАТЬ
  3. ЕСЛИ ПОЛЬЗОВАТЕЛЯ ОБОЛОЧКА = / usr / sbin / nologin ТОГДА РАЗРЕШИТЬ НАЙТИ следующее ПРАВИЛО ИНАЧЕ ОТКАЗАТЬ
  4. НЕТ СЛЕДУЮЩЕГО ПРАВИЛА: РАЗРЕШИТЬ ДОСТУП

Все правила в основном И , когда они имеют тип ТРЕБУЕТСЯ .

Я подключаю руководство Я последовал за. Я также использовал справочные страницы Linux для PAM, но не связывал их.

Не стесняйтесь добавлять все, что я пропустил. Я впервые использовал PAM, и я думаю, что мне нравится эта функция.

С уважением!

Простое руководство по Linux-PAM от DZONE.com

2
ответ дан 4 December 2019 в 13:24

Теги

Похожие вопросы