URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 54837
[ Назад ]

Исходное сообщение
"FBSD Current. PAMифизация"
Отправлено llelik , 25-Мрт-05 12:08

Перехал с 5.4 пререлиза на 6.0 по старой нехорошей привычке решил не делать mergemaster, итог - из-за памифизации всего всего залогиниться не могу, ни ссш ни с терминала. Вопрос: поможет ли мержмастер на уже установленной 6.0? или придется откатиться обратно на 5.4 и последующей пересборкой 6.0 с мержмастером уже?
Или есть какое то решение без мержмастера сейчас чего нить поднастроить, из etc/pam.d/README ничего не понял, вернее ничего не помогает.
Как должно быть прописано в /etc/pam.d/login для того чтоб он ловил пароли напрямую из /etc/master.passwd?

Содержание

FBSD Current. PAMифизация,lavr, 14:41 , 25-Мрт-05
- FBSD Current. PAMифизация,llelik, 16:53 , 25-Мрт-05
  - FBSD Current. PAMифизация,lavr, 17:26 , 25-Мрт-05
    - FBSD Current. PAMифизация,llelik, 17:53 , 25-Мрт-05
      - FBSD Current. PAMифизация,lavr, 18:25 , 25-Мрт-05
        
        FBSD Current. PAMифизация,llelik, 18:42 , 25-Мрт-05
        
        FBSD Current. PAMифизация,llelik, 18:44 , 25-Мрт-05
        
        FBSD Current. PAMифизация,lavr, 20:20 , 25-Мрт-05
        
        FBSD Current. PAMифизация,llelik, 11:57 , 26-Мрт-05
        
        FBSD Current. PAMифизация,llelik, 14:29 , 26-Мрт-05
        
        FBSD Current. PAMифизация,lavr, 17:41 , 27-Мрт-05
        
        FBSD Current. PAMифизация,lavr, 17:31 , 27-Мрт-05
        
        FBSD Current. PAMифизация,llelik, 09:56 , 28-Мрт-05

Сообщения в этом обсуждении

"FBSD Current. PAMифизация"
Отправлено lavr , 25-Мрт-05 14:41

>Перехал с 5.4 пререлиза на 6.0 по старой нехорошей привычке решил не
>делать mergemaster, итог - из-за памифизации всего всего залогиниться не могу,
>ни ссш ни с терминала. Вопрос: поможет ли мержмастер на уже
>установленной 6.0? или придется откатиться обратно на 5.4 и последующей пересборкой
>6.0 с мержмастером уже?
>Или есть какое то решение без мержмастера сейчас чего нить поднастроить, из
>etc/pam.d/README ничего не понял, вернее ничего не помогает.
>Как должно быть прописано в /etc/pam.d/login для того чтоб он ловил пароли
>напрямую из /etc/master.passwd?
кто запрещает boot -s (single-user mode) и сделать mergemaster
или скопировать /usr/src/etc/pam.d (то бишь из sources)
актуальные можно посмотреть:
http://www.freebsd.org/cgi/cvsweb.cgi/src/etc/pam.d/?only_wi...

"FBSD Current. PAMифизация"
Отправлено llelik , 25-Мрт-05 16:53

да делал, толку 0
mergemaster -r -i -a

"FBSD Current. PAMифизация"
Отправлено lavr , 25-Мрт-05 17:26

>да делал, толку 0
>mergemaster -r -i -a
значит не понимаешь как работает PAM, в этом случае отключи PAM в sshd_config

"FBSD Current. PAMифизация"
Отправлено llelik , 25-Мрт-05 17:53

>>да делал, толку 0
>>mergemaster -r -i -a
>
>значит не понимаешь как работает PAM, в этом случае отключи PAM в
>sshd_config
это первое что я сделал
после мержмастера добавились новые опции в sshd_config - там ПАМ отключен.
выясняется что либо файрволл правила не прочитал, либо интерфейсы не поднялись, поскольку залогиниться не могу - то и проверить никак. В rc.conf все по старому, проверил.
Буду читать про ПАМ, я его действительно не знаю, не было необходимости.

"FBSD Current. PAMифизация"
Отправлено lavr , 25-Мрт-05 18:25

>>>да делал, толку 0
>>>mergemaster -r -i -a
>>
>>значит не понимаешь как работает PAM, в этом случае отключи PAM в
>>sshd_config
>
>это первое что я сделал
>после мержмастера добавились новые опции в sshd_config - там ПАМ отключен.
>выясняется что либо файрволл правила не прочитал, либо интерфейсы не поднялись, поскольку
>залогиниться не могу - то и проверить никак. В rc.conf все
>по старому, проверил.
>Буду читать про ПАМ, я его действительно не знаю, не было необходимости.
>

ешкин кот, если ты удаленно систему поднимаешь, ОБЯЗАН сделать mergemaster
ручками и поднять открытый firewall.
nmap в руки и просканируй порты чтобы удостовериться: firewall это или
нет, тогда уж дальше будешь рыть.

"FBSD Current. PAMифизация"
Отправлено llelik , 25-Мрт-05 18:42

Да не удаленно, просто не хочу в серверной сидеть 8) да и машина все равно тестовая
Фаерволл и так открытый был, до каррента все было нормально и с интерфейсами и фаерволом. Обновляюсь уж не первый раз на разных релизах, впервые что то раком встало, в данном случае из-за этой ПАМифизации.
На сколько я понял pam_unix дает то что я хочу, авторизоваться "по старому" в системе, так так и стоит для login.
Попробовал в сингле запустить сислогд - в мессаджес повалило куча несвязанной ерунды от ядра.
Имеет смысл попробовать откатиться на 5.4, в сингле gcc будет нормально работать? исходники то я сохранил...

"FBSD Current. PAMифизация"
Отправлено llelik , 25-Мрт-05 18:44

Похоже все таки интерфес не поднялся
с соседней машины:
# arp -a|grep 1.56
? (192.168.1.56) at <incomplete> on eth0

"FBSD Current. PAMифизация"
Отправлено lavr , 25-Мрт-05 20:20

>Похоже все таки интерфес не поднялся
>с соседней машины:
># arp -a|grep 1.56
>? (192.168.1.56) at <incomplete> on eth0
ну вот, видишь, а ты pam ругал.

"FBSD Current. PAMифизация"
Отправлено llelik , 26-Мрт-05 11:57

>>Похоже все таки интерфес не поднялся
>>с соседней машины:
>># arp -a|grep 1.56
>>? (192.168.1.56) at <incomplete> on eth0
>
>ну вот, видишь, а ты pam ругал.

если в сингле стартануть sshd при поднятом интерфейсе то все равно не аутентифицируется, отваливается после ввода логина, пароль не просит
login попрежнему не аутентифицирует.
Тогда остался вопрос от чего интерфейсы не поднимаются, я настройки не менял . Да там и менять то нечего 3 строчки.
Видимо все таки откат на 5.4

"FBSD Current. PAMифизация"
Отправлено llelik , 26-Мрт-05 14:29

pam ругается на login при помощи pam_acct_mgmt()
"Функция pam_acct_mgmt(3) проверяет, доступна ли запрашиваемая учётная запись"
как это понимать?

"FBSD Current. PAMифизация"
Отправлено lavr , 27-Мрт-05 17:41

>pam ругается на login при помощи pam_acct_mgmt()
>
>"Функция pam_acct_mgmt(3) проверяет, доступна ли запрашиваемая учётная запись"
>как это понимать?
если не ошибаюсь, эта функция производит дополнительные проверки после
успешной авторизации
1) добейся чтобы система загружалась в multiuser mode и поднимались
сетевые интерфейсы
2) проверь заход пользователя non-root в multiuser mode с виртуальных
консолей, если заходит, тогда уже смотри /etc/pam.d/sshd
PS. В принципе, для начала в /etc/pam.d/README неплохо расписано, дальше
просто начинаешь методы и функции смотреть, кроме того есть модуль pam
для debugging и расширенной диагностики, я вполне успешно когда-то
этим пользовался

"FBSD Current. PAMифизация"
Отправлено lavr , 27-Мрт-05 17:31

>>>Похоже все таки интерфес не поднялся
>>>с соседней машины:
>>># arp -a|grep 1.56
>>>? (192.168.1.56) at <incomplete> on eth0
>>
>>ну вот, видишь, а ты pam ругал.
>
>
>если в сингле стартануть sshd при поднятом интерфейсе то все равно не
>аутентифицируется, отваливается после ввода логина, пароль не просит
>login попрежнему не аутентифицирует.
>Тогда остался вопрос от чего интерфейсы не поднимаются, я настройки не менял
>. Да там и менять то нечего 3 строчки.
>Видимо все таки откат на 5.4
у меня нет к сожалению CURRENT, но могу предположить изменения в
rc конфигах и rc скриптах, в том числе и в /etc/rc.d и в /etc/defaults
изменения могут быть не только в скриптах, но и в названиях переменных,
несоответствие ЯДРА и СИСТЕМЫ (новое ядро собрали и установили, а новую
систему нет)
И потом, что значит подняли sshd в single, в single сети нет, ее надо
руками поднимать. Да и монтировать /usr, /var и root-fs на RW.
Вобщем, мне непонятно, информации недостаточно

"FBSD Current. PAMифизация"
Отправлено llelik , 28-Мрт-05 09:56

>И потом, что значит подняли sshd в single, в single сети нет,
>ее надо
>руками поднимать. Да и монтировать /usr, /var и root-fs на RW.
руками и поднимаю и сеть и перемонтирую в rw /
изменений в defaults/rc.conf нету, проверял в надежде увидеть PAM_enable,или что нибудь похожее, но не нашел 8(
Я сам не понимаю что произошло, поэтому уже откатился на 5.4, хотя мне нужен именно карент. Попробую опять на карент, со второй попытки, но уже с правильным мержмастером.