Chyba openssh-3.1p1-8 ?

Kasparek Tomas kasparek na fit.vutbr.cz
Čtvrtek Červenec 31 08:33:59 CEST 2003


On Thu, 31 Jul 2003, Jan Marek wrote:

> On Thu, Jul 31, 2003 at 07:53:53AM +0200, Radek Harabis wrote:
> > Ahoj vsichni,
> > na RedHatu 7.3 jsem upgradoval openssh:
> > openssh-3.1p1-6   --->   openssh-3.1p1-8
> > (server a client samozrejme taky)
> > a od te chvile se prihlasovaci proces silene zpomalil.
> >
> > Sshd zacal do logu vypisovat authentication failure,
> > nicmene Password: prompt vypise a heslo akceptuje.
> >
> > sshd(pam_unix)[22413]: authentication failure; logname= uid=0 euid=0
> > tty=NODEVs ...
> > sshd(pam_unix)[22413]: session opened for user root by (uid=0)
> >
> > Maji tam chybu oni, nebo jsem na neco po upgradu zapomnel?
>
> a nezmenilo se neco v /etc/pam.d/ssh?
> Pokud bys to chtel zkoumat podrobneji, pak je mozne na klientovi toto:
>
> ssh -v(vv) username na host
>
> a podivat se, kde ceka.
> Prinejhorsim pak zjistit pid sshd na servreru a udelat tam toto:
>
> strace -o sshd.strace -f -F -p pid_sshd

Mohu potvrdit. Problem je v pouziti autentizace pres PAM. Zkusim strucne
popsat:

- pri spojeni se na zacatku provede autentizace uzivatele metodou 'none'

- tato autentizace je provedena pres PAM (na RH pres /etc/pam.d/ssh a
system-auth). Tato autorzace ma selhat - da se vygooglovat, ze je to
soucast protokolu ktery pouziva OpenSSH ke zjsteni podporovanych
autentizacnich metod.

- PAM ma (pro pam_unix) standardne nastaveno, ze pri chybne autentizaci se
ma provest ~1s dlouhe cekani - zname je to napriklad z prihlasovani na
konzoli - pokud zadate spatne heslo, taky se nova vyzva login: neobjevi
ihned.

- obejit to lze volbou 'nodelay' v system-auth:

auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok nodelay
                                                               -------

Ale funguje to pak napr. i pro konzoli.

Dalsi moznosti je prepsat /etc/pam.d/sshd aby nepouzival system-auth a pak
toto omezeni provest jen pro ssh (bude ale opet fungovat i pro spatne
zadane heslo - nezkousel jsem)

No a zaver?

Mate nekdo nejake 'systemove' reseni, co na to redhat atd. Uvitam jakekoliv
napady a pripominky.

A jen jeste - opravdu to dela po poslednim upgrade openssh

(Dneska to budu jeste studovat a googlit, pokud na neco prijdu, dam vedet)

Bye

--

  Tomas Kasparek, PhD student  E-mail: kasparek na fit.vutbr.cz
  CVT FIT VUT Brno, BI/140a    Web:    http://www.fit.vutbr.cz/~kasparek
  Bozetechova 2, 612 66        Fax:    +420 54114-1270
  Brno, Czech Republic         Phone:  +420 54114-1220



Další informace o konferenci Linux