如何确保所有用户在第一次登录时都加密了他们的主目录?
我已将 pam 设置为使用 Kerberos 身份验证和 LDAP 授权(我认为这对 ecryptfs 没有任何影响)。
我还设置了 pam-mkhomedir 以从 /etc/skel 创建主目录,我在其中放置了一些标准配置。
查看一个已启用 ecryptfs 的用户帐户中的 .ecryptfs 目录,有一些特定于用户的配置,例如挂载点(设置为 /home/d_inevitable),这在 /etc/skel 中是没有用的。
在使用 ecryptfs 挂载主目录后,还需要复制 /etc/skel 中的配置。
pam_env.conf我很难看出和之间的区别/etc/environment。对我来说,它们都做同样的事情,但语法不同。手册页没有帮助。那么区别是什么呢?
此外,我想找到一种PATH为所有用户添加环境变量路径的方法。将它们添加到上述两个文件适用于所有用户,但不适用于 sudo,这可以通过运行来验证sudo sh -c 'echo $PATH'。
为了解决这个问题,我相信我应该编辑该文件/etc/pam.d/sudo,但是我应该在其中放入什么?
我通常在我的机器上使用长密码,但我听说可以增加散列轮数并使用较短的密码获得相同的安全性。如何让我的系统在散列密码时使用更多轮次?
我刚刚将我们的服务器升级到 Ubuntu 10.04 并cron停止工作。我试图重新启动服务器,重新启动cron但对我没有任何作用。它只是报告/var/log/syslog:
May 12 16:32:01 uhor CRON[8424]: Module is unknown
May 12 16:33:01 uhor CRON[8430]: Module is unknown
May 12 16:33:01 uhor CRON[8429]: Module is unknown
May 12 16:34:01 uhor CRON[8432]: Module is unknown
你知道有什么问题吗?有些人Module is unknown在升级后也报告错误,但通常是使用passwd命令,而不是使用cron.
这是我的 /etc/pam.d/cron
#
# The PAM configuration file for the cron daemon
#
@include common-auth
# Read environment variables from pam_env's default files, /etc/environment
# and /etc/security/pam_env.conf.
session required …对于可以登录的用户,您如何确定用户密码存储在哪里?我知道系统正在为用户(用户名、主路径等)使用 LDAP,但它不包含任何类型的密码。我可以访问配置好的机器,那么我如何找出密码在哪里?(哪个配置文件?)
我已经将一些盒子切换到SSSD,因此它们现在针对中央 LDAP 服务器进行身份验证,并在我离线时缓存凭据。这工作正常,并且 Ubuntu 软件包安装正常。
但是现在当我登录时,我的主目录不再自动解密/挂载。如果我退出 GDM 并在控制台登录,则会出现以下错误:
keyctl_seach Required key not avaliable
如果我运行建议的命令 ( ecryptfs-mount-private ) 并提供我的密码,我的主目录就可以正常解锁。
我试图了解登录过程是如何变化的,以至于我的密码不再自动解锁加密密钥。我认为这是 PAM 问题,所以我在下面包含了我的/etc/pam.d/common-auth文件。
我认为密码正在传递给 SSSD,然后跳过通常为解锁密钥所做的任何步骤。有人能解释一下这是怎么做的吗?
auth [success=3 default=ignore] pam_sss.so
auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_ecryptfs.so unwrap
更新1:
auth.log 在用户登录时报告此错误:
login[14202]: NULL passphrase; aborting
google 只在 pam_ecryptfs.so 的源中出现了这个错误,并且在收到的 PAM_AUTHTOK 为 NULL 时触发:
rc = pam_get_item(pamh, PAM_AUTHTOK, (const void **)&passphrase);
[...]
if (passphrase …如果我的手机在附近,我希望 lightdm 跳过询问我的密码。lightdm 和 unity-greeter 怎么可能呢?我也有兴趣知道它是否安全,因为它似乎并非如此。
我在 KVM 机器上有一个 Ubuntu 的虚拟来宾,我已经设置了机器,所以我可以输入virsh console并放入控制台。
我意识到这里的安全考虑,但是是否可以设置来宾,以便如果用户通过控制台连接,他们将自动成为 root,而无需输入任何密码。然而,这仅适用于串行控制台,不适用于 SSH 或远程访问。
这不是真正的 KVM 问题,而只是系统设置,控制台已设置为/dev/ttyS0.
我使用的是 Ubuntu 15.10,但今天升级到 16.04 LTS。升级后,我无法再针对我们的 AD 进行身份验证。我曾尝试使用https://help.ubuntu.com/lts/serverguide/sssd-ad.html作为从头开始配置所有内容的指南。一切正常,直到步骤Test Authentication。
我无法登录使用
su - myusename
当我检查我的 auth.log 时,我看到以下几行:
Apr 28 12:59:30 PC1899 su[3134]: pam_krb5(su:auth): user myusename authenticated as myusename@DOMAIN
Apr 28 12:59:30 PC1899 su[3134]: (rdconf1.c:744): path to luserconf set to /home/DOMAIN/myusername/.pam_mount.conf.xml
Apr 28 12:59:30 PC1899 su[3134]: (pam_mount.c:365): pam_mount 2.14: entering auth stage
Apr 28 12:59:30 PC1899 su[3134]: pam_sss(su:account): Access denied for user myusername: 4 (System error)
Apr 28 12:59:30 PC1899 su[3134]: pam_acct_mgmt: System error
Apr 28 12:59:30 PC1899 su[3134]: …我试图找到启动时间缓慢的原因,因此我检查了日志文件并从重新启动时发现了这一点:
Feb 4 00:54:17 blackbird3460 lightdm: PAM unable to dlopen(pam_kwallet.so): /lib/security/pam_kwallet.so: cannot open shared object file: No such file or directory
Feb 4 00:54:17 blackbird3460 lightdm: PAM adding faulty module: pam_kwallet.so
Feb 4 00:54:17 blackbird3460 lightdm: PAM unable to dlopen(pam_kwallet5.so): /lib/security/pam_kwallet5.so: cannot open shared object file: No such file or directory
Feb 4 00:54:17 blackbird3460 lightdm: PAM adding faulty module: pam_kwallet5.so
Feb 4 00:54:17 blackbird3460 lightdm: pam_unix(lightdm-greeter:session): session opened for user lightdm by (uid=0)
那是什么?