¿Por qué pam_mount pide contraseña?

8

Utilicé la pam-auth-updateherramienta para habilitar algunos perfiles de configuración de pam:

 PAM configuration 
 PAM profiles to enable:
    [*] encfs encrypted home directories           
    [*] Unix authentication                             
    [*] Mount volumes for user                         
    [*] GNOME Keyring Daemon - Login keyring management  
    [*] ConsoleKit Session Management

Todas las funciones funcionan según lo esperado, pero hay una cosa: la Mount volumes for useropción parece afectar el sucomando.

Agregué la siguiente línea al /etc/security/pam_mount.conf.xmlarchivo:

<volume user="morfik" fstype="fuse" path="encfs#/media/Server/Dropbox.encfs/Dropbox/encrypted" mountpoint="/media/Server/Dropbox" />

y cuando escribo un terminal su morfik(como root), no debería haber ninguna solicitud de contraseña, sino que veo esto:

# su morfik
reenter password for pam_mount:

Si desmarqué la Mount volumes for useropción en el menú anterior, todo parece ser un archivo y reenter passworddesaparece. Traté de jugar con /etc/pam.d/archivos, pero no tengo experiencia con PAM y no pude hacerlo funcionar.

¿Alguien sabe qué hay que cambiar en estos archivos?

ACTUALIZACIÓN # 1

Este es el contenido del /etc/pam.ddirectorio:

# ls -al /etc/pam.d/
total 104K
drwxr-xr-x   2 root root 4.0K Mar 21 16:21 ./
drwxr-xr-x 153 root root  12K Mar 21 16:11 ../
-rw-r--r--   1 root root  197 Sep  8  2013 atd
-rw-r--r--   1 root root  384 May 25  2012 chfn
-rw-r--r--   1 root root   92 May 25  2012 chpasswd
-rw-r--r--   1 root root  581 May 25  2012 chsh
-rw-r--r--   1 root root 1.2K Mar 20 17:35 common-account
-rw-r--r--   1 root root 1.3K Mar 20 17:35 common-auth
-rw-r--r--   1 root root 1.5K Mar 20 17:35 common-password
-rw-r--r--   1 root root 1.3K Mar 20 17:35 common-session
-rw-r--r--   1 root root 1.2K Mar 20 17:35 common-session-noninteractive
-rw-r--r--   1 root root  527 Jul  3  2012 cron
-rw-r--r--   1 root root   69 Jul 16  2013 cups-daemon
-rw-r--r--   1 root root 4.8K Mar  5 10:18 login
-rw-r--r--   1 root root   92 May 25  2012 newusers
-rw-r--r--   1 root root  520 Jul 22  2008 other
-rw-r--r--   1 root root  147 Feb 13 07:15 passwd
-rw-r--r--   1 root root  255 Oct 15 18:40 polkit-1
-rw-r--r--   1 root root   84 Dec 27 12:40 samba
-rw-r--r--   1 root root 2.1K Feb 15 03:11 sshd
-rw-r--r--   1 root root 2.3K May 25  2012 su
-rw-r--r--   1 root root   95 Jan 15 22:58 sudo
-rw-r--r--   1 root root  108 Oct 19 23:42 xscreensaver

No hay ningún archivo /etc/pam.d/system-auth.

Verifiqué qué archivos tienen pam_mounten su contenido, y obtuve esto:

# egrep -i pam_mount *
common-auth:auth        optional        pam_mount.so
common-session:session  optional        pam_mount.so

El contenido de los archivos:

#
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.).  The default is to use the
# traditional Unix authentication mechanisms.
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
auth    sufficient              pam_encfs.so 
auth    [success=1 default=ignore]  pam_unix.so nullok_secure try_first_pass
# here's the fallback if no module succeeds
auth    requisite           pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required            pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth    optional    pam_mount.so 
# end of pam-auth-update config

y:

#
# /etc/pam.d/common-session - session-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define tasks to be performed
# at the start and end of sessions of *any* kind (both interactive and
# non-interactive).
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
session [default=1]         pam_permit.so
# here's the fallback if no module succeeds
session requisite           pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
session required            pam_permit.so
# and here are more per-package modules (the "Additional" block)
session required    pam_unix.so 
session optional    pam_mount.so 
session optional            pam_ck_connector.so nox11
# end of pam-auth-update config

ACTUALIZACIÓN # 2

Estoy usando las pruebas de Debian. Traté de cambiar la posición de pam_mount, pero siempre es lo mismo. He leído algunas secciones del manual, y había algo como: 

 When "sufficient" is used in the second column, you must make sure that
   pam_mount is added before this entry. Otherwise pam_mount will not  get
   executed  should  a  previous  PAM module succeed. Also be aware of the
   "include" statements. These make PAM look into the specified  file.  If
   there is a "sufficient" statement, then the pam_mount entry must either
   be in the included file before the "sufficient" statement or before the
   "include" statement.

Incluso agregué pam_mountal /etc/pam.d/suarchivo para verificar si esto hace alguna diferencia, pero no importa. Si pam_mountes el primero, como dicen, en lugar de una solicitud de contraseña, recibo una pam_mount passwordsolicitud cuando inicio sesión en mi sistema, y ​​todavía me pide una contraseña cuando intentosu morfik

mount  password  pam 
Mikhail Morfikov
fuente
¿Ya resolviste esto?
PSkocik
En realidad, dejé de usar encfs hace mucho tiempo y no resolví el problema en el pasado. Acabo de instalar el módulo PAM apropiado, y cuando "su" al usuario en cuestión desde la raíz, no hay solicitud de contraseña. Pero cuando agrego una línea de volumen al /etc/security/pam_mount.conf.xmlarchivo, el mensaje comienza a aparecer.
Mikhail Morfikov

Respuestas:

2

Me encontré con el mismo problema.

Resulta que el problema se resuelve agregando la disable_interactiveopción al lado de pam_mount.soen los archivos de configuración ( /etc/pam.d/common-{auth,session}).

Viene justo después pam_mount.soy las opciones se separan con espacios (del sonombre del archivo y entre cada dos opciones).

Cuando el pam_mount.socódigo se ejecuta al iniciar sesión, recibirá la contraseña desde la parte superior de la pila y la usará para descifrar su volumen.

Cuando lo hace sudesde una sesión raíz, no se requiere contraseña y, por pam_mount.solo tanto , no obtendrá ninguna contraseña. Entonces, sin la disable_interactiveopción, intentará obtener la contraseña.

Afortunadamente, como puede ver en https://sourceforge.net/p/pam-mount/pam-mount/ci/master/tree/src/pam_mount.c , línea 493, pam_mountintentará continuar incluso sin una contraseña, que es bueno, porque la contraseña no es necesaria si el volumen ya está desbloqueado y montado.

PSkocik
fuente
Probé parcialmente el parámetro porque ya no lo uso encfs. Acabo de crear los directorios e instalé los módulos PAM apropiados. Después de agregar "disable_interactive" a los dos archivos, en realidad dejó de mostrar la solicitud de contraseña. No estoy seguro de si el mensaje "error de montaje" se debe a la contraseña o porque no hay un "directorio encfs". De todos modos, me las arreglé para cambiar de usuario sin contraseña. Entonces acepto esta respuesta.
Mikhail Morfikov
1

Adivine por completo, pero eche un vistazo a sus /etc/pam.d/*archivos y asegúrese de que las configuraciones de PAM relacionadas pam_mountestén configuradas de la siguiente manera:

auth optional pam_mount.so
...
auth include system-auth use_first_pass
...
session optional pam_mount.so

Esto parece estar respaldado por la pam_mount.confpágina del manual:

extracto

Messages
   <msg-authpw>pam_mount password:</msg-authpw>
        When  pam_mount cannot obtain a password through PAM, or is 
        configured to not do so in the first place, and is configured to ask 
        for a password interactively as a replacement, this prompt  will be 
        shown.

   <msg-sessionpw>reenter...:</msg-sessionpw>
        In  case  the  'session' PAM block does not have the password (e.g. 
        on su from root to user), it will ask again. This prompt can also be 
        customized.

NOTA: El orden de los /etc/pam.d/*archivos de configuración también se menciona aquí en este tema de ArchLinux Wiki titulado: Pam mount .

Referencias

slm
fuente
@MikhailMorfikov: no estoy seguro de si está utilizando Debian o Ubuntu, pero si echa un vistazo a la página del manual, pam_mounthay varios ejemplos sobre cómo estructurar su pedido de PAM utilizando este módulo. ¿Puedes echarle un vistazo a eso y compararlo con tus /etc/pam.d/*archivos? Espero que necesites cambiar las pilas de PAM. ¿Puede ejecutar esto: strace -s 2000 -o su.log su morfikpara que podamos ver qué reglas lo están tropezando?
slm
Actualicé la pregunta.
Mikhail Morfikov
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.