PDA

Visualizza la versione completa : Problemi di implementazione PAM


giacomolg
10-11-2004, 21:54
Ciao,
la mia necessità è quella di limitare in modo temporale l'utilizzo di kppp da parte dell'utente lorenzo, attraverso il modulo pam_time.so
Ho perciò modificato /etc/security/time.conf, aggiungendo questa riga: kppp;*;lorenzo;Al1830-0800&Sa1330-2400&Su0000-2400

il file /etc/pam.d/kppp appare come segue:

#%PAM-1.0
auth sufficient pam_rootok.so
auth required pam_stack.so service=system-auth
session optional pam_xauth.so
account requisite pam_time.so
account required pam_permit.so


Io vorrei che l'utente lorenzo, non riuscisse ad aprire kppp, per esempio, alle 10:00 del martedì mattina...ma questo non sembra accadare :dhò:

Dove sbaglio?
Graxie grazie grazie!!

l.golinelli
11-11-2004, 12:59
Cosa dice /var/log/auth?

:ciauz:

francofait
11-11-2004, 13:42
errore di scrittura:

account requisite pam_time.so error

account required pam_time.so

giacomolg
11-11-2004, 20:16
Originariamente inviato da francofait
errore di scrittura:

account requisite pam_time.so error

account required pam_time.so

Ho perciò riscritto /etc/pam.d/kppp come segue:

#%PAM-1.0
auth sufficient pam_rootok.so
#auth required pam_time.so
auth required pam_stack.so service=system-auth
session optional pam_xauth.so
#account requisite pam_time.so
account required pam_time.so debug
account required pam_permit.so

per verificare se va posso fare "su lorenzo" e poi digitare kppp?
il file di log /var/log/auth non ce l'ho................. :bhò:
:ciauz: :ciauz:

Ikitt
11-11-2004, 20:23
Originariamente inviato da francofait
errore di scrittura:

account requisite pam_time.so error

account required pam_time.so

No, esistono entrambi e hanno significati leggermente diversi:


# required; this indicates that the success of the
module is required for the module-type facility to succeed.
Failure of this module will not be apparent to the user
until all of the remaining modules (of the same module-type)
have been executed.
# requisite; like required, however, in the case that
such a module returns a failure, control is directly
returned to the application. The return value is that
associated with the first required or requisite module to
fail. Note, this flag can be used to protect against the
possibility of a user getting the opportunity to enter a
password over an unsafe medium. It is conceivable that such
behavior might inform an attacker of valid accounts on a
system. This possibility should be weighed against the not
insignificant concerns of exposing a sensitive password in a
hostile environment.

http://www.it.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam-4.html

Non posso entrare nel merito specifico del thread perche` non ho familiarita` con pam_time...
:bhò:

giacomolg
12-11-2004, 09:38
Ho controllato sul sito e su un libro di linux security, e sembra che il file /etc/pam.d/kppp vada bene.
Però se mi loggo come lorenzo posso tranquillamente aprire kppp (nel file di configurazione ho impostato kppp;*;lorenzo;!Al0000-2400).

giacomolg
13-11-2004, 02:08
E' poi possibile dire a PAM di avviare una piccola applicazione in caso pam_time fallisca (ovvero lorenzo abbia aperto kppp in orari proibiti)??


pam_time non mi va ancora :messner: , è forse perchè non ho il file /var/log/auth? :dhò: :dhò: :dhò: :cry: :messner:

Grazie !








:sonno:

Loading