Chyba openssh-3.1p1-8 ?
Kasparek Tomas
kasparek na fit.vutbr.cz
Čtvrtek Červenec 31 08:33:59 CEST 2003
On Thu, 31 Jul 2003, Jan Marek wrote:
> On Thu, Jul 31, 2003 at 07:53:53AM +0200, Radek Harabis wrote:
> > Ahoj vsichni,
> > na RedHatu 7.3 jsem upgradoval openssh:
> > openssh-3.1p1-6 ---> openssh-3.1p1-8
> > (server a client samozrejme taky)
> > a od te chvile se prihlasovaci proces silene zpomalil.
> >
> > Sshd zacal do logu vypisovat authentication failure,
> > nicmene Password: prompt vypise a heslo akceptuje.
> >
> > sshd(pam_unix)[22413]: authentication failure; logname= uid=0 euid=0
> > tty=NODEVs ...
> > sshd(pam_unix)[22413]: session opened for user root by (uid=0)
> >
> > Maji tam chybu oni, nebo jsem na neco po upgradu zapomnel?
>
> a nezmenilo se neco v /etc/pam.d/ssh?
> Pokud bys to chtel zkoumat podrobneji, pak je mozne na klientovi toto:
>
> ssh -v(vv) username na host
>
> a podivat se, kde ceka.
> Prinejhorsim pak zjistit pid sshd na servreru a udelat tam toto:
>
> strace -o sshd.strace -f -F -p pid_sshd
Mohu potvrdit. Problem je v pouziti autentizace pres PAM. Zkusim strucne
popsat:
- pri spojeni se na zacatku provede autentizace uzivatele metodou 'none'
- tato autentizace je provedena pres PAM (na RH pres /etc/pam.d/ssh a
system-auth). Tato autorzace ma selhat - da se vygooglovat, ze je to
soucast protokolu ktery pouziva OpenSSH ke zjsteni podporovanych
autentizacnich metod.
- PAM ma (pro pam_unix) standardne nastaveno, ze pri chybne autentizaci se
ma provest ~1s dlouhe cekani - zname je to napriklad z prihlasovani na
konzoli - pokud zadate spatne heslo, taky se nova vyzva login: neobjevi
ihned.
- obejit to lze volbou 'nodelay' v system-auth:
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok nodelay
-------
Ale funguje to pak napr. i pro konzoli.
Dalsi moznosti je prepsat /etc/pam.d/sshd aby nepouzival system-auth a pak
toto omezeni provest jen pro ssh (bude ale opet fungovat i pro spatne
zadane heslo - nezkousel jsem)
No a zaver?
Mate nekdo nejake 'systemove' reseni, co na to redhat atd. Uvitam jakekoliv
napady a pripominky.
A jen jeste - opravdu to dela po poslednim upgrade openssh
(Dneska to budu jeste studovat a googlit, pokud na neco prijdu, dam vedet)
Bye
--
Tomas Kasparek, PhD student E-mail: kasparek na fit.vutbr.cz
CVT FIT VUT Brno, BI/140a Web: http://www.fit.vutbr.cz/~kasparek
Bozetechova 2, 612 66 Fax: +420 54114-1270
Brno, Czech Republic Phone: +420 54114-1220
Další informace o konferenci Linux