У меня есть системы RHEL 6.3, в которых PAM access.conf правильно настроен и работает. Тем не менее, после анализа попытки руткита, кажется, что она не в идеальном состоянии, и мне интересно, можно ли с этим что-нибудь сделать.
Я использовал authconfig для добавления access.conf, а затем добавил свои правила. Тем не менее, похоже, что PAM выполняет проверку пароля ДО запуска правил access.conf. Я хочу изменить это и даже не позволить кому-либо проверять пароль, если он не передаст правила access.conf FIRST.
Текущее поведение представляет угрозу безопасности, imho, потому что, хотя access.conf может впоследствии отказать в успешном угадывании пароля, существуют характеристики, которые сообщают хакеру, что он правильно угадал. То есть:
Неудачные попытки ввода пароля:
[ivo@pioneer:~]$ ssh root@mysecuresystem
root@mysecuresystem's password:
Permission denied, please try again.
root@mysecuresystem's password:
Permission denied, please try again.
root@mysecuresystem's password:
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).
Успешные попытки ввода пароля:
[ivo@pioneer:~]$ ssh root@mysecuresystem
root@mysecuresystem's password:
Connection closed by 10.10.10.65
Поведение не говорит окончательно, что они получили пароль, но оно отличается от ошибочного предположения и поэтому примечательно. (Кроме того, в журналах по-прежнему отображается unix_chkpw, что приводит к ложному срабатыванию в анализаторе IDS/log Security).
Хотя изменение этого поведения приведет к изменениям в источнике PAM и, следовательно, будет сложным, изменение порядка проверок в PAM может быть простым?
Так как же заставить PAM использовать access.conf ПЕРЕД проверкой пароля?
(Примечание: нам нужно использовать access.conf, потому что нам нужно остановить только root на большинстве машин, но разрешить пользователям откуда угодно. Так что конфиг sshd не является решением и не является оболочкой для того, что нам нужно сделать)
Спасибо!