- 主题:普通用户怎么使用pam认证?
用pam写了一个登录的插件,整个程序是用非root用户执行的,这样它只能校验当前运行
用户的用户名密码,而无法校验其他用户的用户名密码
怎么设置让他也能校验其他用户的用户名和密码呢?
几个方案
1、让/etc/shadow对该用户可读,这个有安全风险
2、给程序suid的权限,好像也不靠谱
3、/etc/pam.d/里设置,这个还没有思路
--
FROM 113.110.224.*
用普通用户权限执行的程序为什么要让所有系统用户登陆?单独一套认证就好了呀。
如果你确实需要所有系统用户登陆,那理论上就应该有高一级的权限。
【 在 qlogic (戒网了) 的大作中提到: 】
: 用pam写了一个登录的插件,整个程序是用非root用户执行的,这样它只能校验当前运行
: 用户的用户名密码,而无法校验其他用户的用户名密码
: 怎么设置让他也能校验其他用户的用户名和密码呢?
: 几个方案
: 1、让/etc/shadow对该用户可读,这个有安全风险
: 2、给程序suid的权限,好像也不靠谱
: 3、/etc/pam.d/里设置,这个还没有思路
--
FROM 210.254.36.*
类似于nginx一样,做pam认证,跑在普通用户啊
nginx的做法是加入shadow组,对/etc/shadow 可读
【 在 hyoga (白鸟·没见过猪跑,还没吃过猪肉吗?) 的大作中提到: 】
: 用普通用户权限执行的程序为什么要让所有系统用户登陆?单独一套认证就好了呀。
: 如果你确实需要所有系统用户登陆,那理论上就应该有高一级的权限。
--
FROM 113.110.224.*
【 在 qlogic (戒网了) 的大作中提到: 】
: 用pam写了一个登录的插件,整个程序是用非root用户执行的,这样它只能校验当前运行
: 用户的用户名密码,而无法校验其他用户的用户名密码
: 怎么设置让他也能校验其他用户的用户名和密码呢?
: ...................
验证逻辑单独写个程序用root跑后台,pam插件和它通信不就完了。
--
FROM 118.122.97.*
所以nginx的方案就是1咯,你又觉得有风险……
postfix的办法是用高权限来启动需要特权的程序然后进程间通讯,
就像前面说的那样。
【 在 qlogic (戒网了) 的大作中提到: 】
: 类似于nginx一样,做pam认证,跑在普通用户啊
: nginx的做法是加入shadow组,对/etc/shadow 可读
--
修改:adoal FROM 115.192.111.*
FROM 115.192.111.*
pam那个so文件本身不能决定自己用什么身份运行吧?
【 在 qlogic (戒网了) 的大作中提到: 】
: 用pam写了一个登录的插件,整个程序是用非root用户执行的,这样它只能校验当前运行
: 用户的用户名密码,而无法校验其他用户的用户名密码
: 怎么设置让他也能校验其他用户的用户名和密码呢?
: ...................
--
FROM 163.125.203.*
我觉得postfix这做法其实没啥意义
那程序也可能被通信攻击啊
【 在 adoal (阿豆) 的大作中提到: 】
: 所以nginx的方案就是1咯,你又觉得有风险……
: postfix的办法是用高权限来启动需要特权的程序然后进程间通讯,
: 就像前面说的那样。
: ...................
--
FROM 163.125.203.*
是可能有攻击。但是那个程序的逻辑比postfix这个大的单体复杂程序简单很多,
出爆站之类bug的攻击点就会窄很多。如果要做安全审计和用附加防护手段,所
付出的代价也小。
【 在 JulyClyde (我的月份又来了) 的大作中提到: 】
: 我觉得postfix这做法其实没啥意义
: 那程序也可能被通信攻击啊
--
FROM 122.225.220.*