조건부 입력에는 pam_exec.so를 사용하십시오.

Question 1

이것은 나에게 맞는 솔루션입니다. 내 거 /etc/pam.d/sudo:

#%PAM-1.0
auth            [success=1]     pam_exec.so    /tmp/test-pam
auth            required        pam_deny.so
auth            include         system-auth
account         include         system-auth
session         include         system-auth

그리고 /tmp/test-pam:

#! /bin/bash
/bin/last -i -p now ${PAM_TTY#/dev/} | \
    /bin/awk 'NR==1 { if ($3 != "0.0.0.0") exit 9; exit 0; }'

나는 다음과 같은 행동을 취합니다.

$ sudo date
[sudo] password for jdoe:
Thu Jun 28 23:51:58 MDT 2018
$ ssh localhost
Last login: Thu Jun 28 23:40:23 2018 from ::1
valli$ sudo date
/tmp/test-pam failed: exit code 9
[sudo] password for jdoe:
sudo: PAM authentication error: System error
valli$

첫 번째 줄은 기본 pam.d/sudo호출 에 추가되고 pam_exec, 성공하면 다음 항목을 건너뜁니다. 두 번째 줄은 단순히 액세스를 무조건 거부합니다.

/tmp/test-pam내 통화 에서 last전화 TTY pam과 연결된 IP 주소를 가져옵니다 . ${PAM_TTY#/dev/}전체 장치 경로가 인식되지 않으므로 값 앞부분에서 제거되었습니다. 이 플래그를 사용하면 IP 주소 또는 자리 표시자가 표시됩니다(IP 주소가 없는 경우). 기본적으로 검사하기 더 어려운 정보 문자열이 표시됩니다. 이것이 내가 대신에 유사한 옵션을 사용하지 않는 이유이기도 합니다. 이 옵션은 검사 중인 출력의 첫 번째 줄만 볼 수 있으므로 꼭 필요한 것은 아니지만 현재 로그인한 사용자만 표시하도록 제한됩니다./dev/last-ilast0.0.0.0lastwhow-p nowawklast

이 명령은 첫 번째 줄만 확인하고 awk세 번째 필드가 아닌 경우 0.0.0.0오류와 함께 종료됩니다 . 이것이 의 마지막 명령이므로 /tmp/test-pamawk의 종료 코드가 스크립트의 종료 코드가 됩니다.

당신이 시도한 테스트 중 어느 것도 내 시스템에서 작동하지 않았습니다 deny-ssh-user.sh. 이것을 env > /tmp/test-pam.log스크립트 상단에 놓으면 환경이 제거되어 SSH_FOO 변수가 설정되지 않은 것을 볼 수 있습니다. $PPID는 여러 프로세스를 가리킬 수 있습니다. 예를 들어 실행하여 perl -e 'system("sudo cat /etc/passwd")'$PPID가 프로세스를 참조하는 위치를 확인하세요 perl.

4.16.11-1-ARCH만일을 대비해 커널인 아치 리눅스(Arch Linux)가 있습니다 . 하지만 나는 그럴 필요가 없다고 생각합니다.

Answer

이것은 나에게 맞는 솔루션입니다. 내 거 /etc/pam.d/sudo:

#%PAM-1.0
auth            [success=1]     pam_exec.so    /tmp/test-pam
auth            required        pam_deny.so
auth            include         system-auth
account         include         system-auth
session         include         system-auth

그리고 /tmp/test-pam:

#! /bin/bash
/bin/last -i -p now ${PAM_TTY#/dev/} | \
    /bin/awk 'NR==1 { if ($3 != "0.0.0.0") exit 9; exit 0; }'

나는 다음과 같은 행동을 취합니다.

$ sudo date
[sudo] password for jdoe:
Thu Jun 28 23:51:58 MDT 2018
$ ssh localhost
Last login: Thu Jun 28 23:40:23 2018 from ::1
valli$ sudo date
/tmp/test-pam failed: exit code 9
[sudo] password for jdoe:
sudo: PAM authentication error: System error
valli$

첫 번째 줄은 기본 pam.d/sudo호출 에 추가되고 pam_exec, 성공하면 다음 항목을 건너뜁니다. 두 번째 줄은 단순히 액세스를 무조건 거부합니다.

/tmp/test-pam내 통화 에서 last전화 TTY pam과 연결된 IP 주소를 가져옵니다 . ${PAM_TTY#/dev/}전체 장치 경로가 인식되지 않으므로 값 앞부분에서 제거되었습니다. 이 플래그를 사용하면 IP 주소 또는 자리 표시자가 표시됩니다(IP 주소가 없는 경우). 기본적으로 검사하기 더 어려운 정보 문자열이 표시됩니다. 이것이 내가 대신에 유사한 옵션을 사용하지 않는 이유이기도 합니다. 이 옵션은 검사 중인 출력의 첫 번째 줄만 볼 수 있으므로 꼭 필요한 것은 아니지만 현재 로그인한 사용자만 표시하도록 제한됩니다./dev/last-ilast0.0.0.0lastwhow-p nowawklast

이 명령은 첫 번째 줄만 확인하고 awk세 번째 필드가 아닌 경우 0.0.0.0오류와 함께 종료됩니다 . 이것이 의 마지막 명령이므로 /tmp/test-pamawk의 종료 코드가 스크립트의 종료 코드가 됩니다.

당신이 시도한 테스트 중 어느 것도 내 시스템에서 작동하지 않았습니다 deny-ssh-user.sh. 이것을 env > /tmp/test-pam.log스크립트 상단에 놓으면 환경이 제거되어 SSH_FOO 변수가 설정되지 않은 것을 볼 수 있습니다. $PPID는 여러 프로세스를 가리킬 수 있습니다. 예를 들어 실행하여 perl -e 'system("sudo cat /etc/passwd")'$PPID가 프로세스를 참조하는 위치를 확인하세요 perl.

4.16.11-1-ARCH만일을 대비해 커널인 아치 리눅스(Arch Linux)가 있습니다 . 하지만 나는 그럴 필요가 없다고 생각합니다.

Question 2

사실 나는 바보이고 이 pam_exec.so모듈은 PAM 조건을 생성하는 데 유용하다는 것이 밝혀졌습니다.

Tim Smith의 평가는 정확합니다. /etc/security/deny-ssh-user.sh내 스크립트의 두 테스트에서는 변수가 SSH_SESSIONtrue로 설정되지 않았습니다. 스크립트는 일반 셸에서 작동하지만 pam_exec.so.

결국 그의 예시처럼 유틸리티를 사용하기 위해 스크립트를 다시 작성하게 되었는데 , 스위치가 Arch Linux에서 RedHat으로 다르기 last때문에 몇 가지를 변경해야 했습니다 .last

다음은 /etc/security/deny-ssh-user.sh에서 수정된 스크립트입니다.

#!/bin/bash
# Returns 1 if the user is logged in through SSH
# Returns 0 if the user is not logged in through SSH
SSH_SESSION=false

function isSshSession {
    local terminal="${1}"
    if $(/usr/bin/last -i | 
        /usr/bin/grep "${terminal}" |
        /usr/bin/grep 'still logged in' |
        /usr/bin/awk '{print $3}' |
        /usr/bin/grep -q --invert-match '0\.0\.0\.0'); then
        echo true
    else
        echo false
    fi
}

function stripTerminal {
    local terminal="${1}"

    # PAM_TTY is in the form /dev/pts/X
    # Last utility displays TTY in the form pts/x
    # Returns the first five characters stripped from TTY
    echo "${terminal:5}"
}

lastTerminal=$( stripTerminal "${PAM_TTY}")
SSH_SESSION=$(isSshSession "${lastTerminal}")

if "${SSH_SESSION}"; then
    exit 1
else
    exit 0
fi

/etc/pam.d/sudo의 내용

....
auth    [success=ok default=1]    pam_exec.so /etc/security/deny-ssh-user.sh
auth    sufficient    pam_module_to_skip.so
....

Answer

사실 나는 바보이고 이 pam_exec.so모듈은 PAM 조건을 생성하는 데 유용하다는 것이 밝혀졌습니다.

Tim Smith의 평가는 정확합니다. /etc/security/deny-ssh-user.sh내 스크립트의 두 테스트에서는 변수가 SSH_SESSIONtrue로 설정되지 않았습니다. 스크립트는 일반 셸에서 작동하지만 pam_exec.so.

결국 그의 예시처럼 유틸리티를 사용하기 위해 스크립트를 다시 작성하게 되었는데 , 스위치가 Arch Linux에서 RedHat으로 다르기 last때문에 몇 가지를 변경해야 했습니다 .last

다음은 /etc/security/deny-ssh-user.sh에서 수정된 스크립트입니다.

#!/bin/bash
# Returns 1 if the user is logged in through SSH
# Returns 0 if the user is not logged in through SSH
SSH_SESSION=false

function isSshSession {
    local terminal="${1}"
    if $(/usr/bin/last -i | 
        /usr/bin/grep "${terminal}" |
        /usr/bin/grep 'still logged in' |
        /usr/bin/awk '{print $3}' |
        /usr/bin/grep -q --invert-match '0\.0\.0\.0'); then
        echo true
    else
        echo false
    fi
}

function stripTerminal {
    local terminal="${1}"

    # PAM_TTY is in the form /dev/pts/X
    # Last utility displays TTY in the form pts/x
    # Returns the first five characters stripped from TTY
    echo "${terminal:5}"
}

lastTerminal=$( stripTerminal "${PAM_TTY}")
SSH_SESSION=$(isSshSession "${lastTerminal}")

if "${SSH_SESSION}"; then
    exit 1
else
    exit 0
fi

/etc/pam.d/sudo의 내용

....
auth    [success=ok default=1]    pam_exec.so /etc/security/deny-ssh-user.sh
auth    sufficient    pam_module_to_skip.so
....

조건부 입력에는 pam_exec.so를 사용하십시오.

조건부 입력에는 pam_exec.so를 사용하십시오.

조건부 입력에는 pam_access.so 사용

답변1

답변2

다음은 /etc/security/deny-ssh-user.sh에서 수정된 스크립트입니다.

/etc/pam.d/sudo의 내용

관련 정보