开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

为什么我的pam适用于sudo而不适用于ssh？

PAM（Pluggable Authentication Modules）是一种用于实现身份验证的软件模块化架构。它允许系统管理员通过配置不同的模块来实现不同的身份验证方式，如密码、令牌、生物识别等。PAM的设计目标是提供灵活、可扩展和可定制的身份验证机制。

对于为什么PAM适用于sudo而不适用于ssh，可能有以下几个原因：

配置文件不同：sudo和ssh使用不同的PAM配置文件。sudo使用的是/etc/pam.d/sudo文件，而ssh使用的是/etc/pam.d/sshd文件。这两个文件中的配置可能不同，导致PAM模块在sudo和ssh中的行为不同。
认证方式不同：sudo和ssh使用不同的认证方式。sudo通常使用密码认证，而ssh可以使用密码认证、公钥认证等多种方式。不同的认证方式可能需要不同的PAM模块来处理。
安全策略不同：sudo和ssh可能有不同的安全策略。例如，sudo可能要求更严格的身份验证，而ssh可能对身份验证要求较宽松。这可能导致在PAM配置中使用不同的模块或不同的参数。

综上所述，PAM适用于sudo而不适用于ssh可能是由于不同的配置文件、认证方式和安全策略导致的。要解决这个问题，可以检查和比较sudo和ssh的PAM配置文件，确保它们的配置一致，并根据实际需求进行调整。

相关搜索:PYTHONPATH在macOS上不适用于sudo (如果我不使用sudo则有效)unbind上的Echo命令不适用于sudo，“权限被拒绝”为什么&运算符只适用于变量而不适用于内联语句为什么NetInfo不适用于Web而适用于安卓(react-native-web)？为什么代码只适用于数字，而不适用于字母？为什么使用CURL的这个函数适用于某些URL而不适用于其他URL？为什么命名参数适用于np.reshape而不适用于x.reshape？为什么字符修剪适用于get_the_excerpt而不适用于the_excerpt？为什么它不适用于数组中的".1“类，而适用于其他类？为什么我使用管道的xargs命令只适用于单个文件，而不适用于多个文件？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

SSH Google Authenticator

我经常需要用 SSH 连加家到自己的电脑上，如果单独用密码验证，存在很多安全隐患，如果用密钥，又很麻烦，所以我选择的是用 Google 的双重验证。顺便换了一个非 22 端口。...下面的方法同样适用于 Ubuntu VPS，我的几个 VPS 都是这样设置的。...4、配置手机 app 用 Google-Authenticator、洋葱、Authy、身份宝等扫描上一步生成的二维码即可。我个人使用的是 Authy。...5、配置 sudo vim /etc/pam.d/sshd 添加： auth required pam_google_authenticator.so 配置： sudo vim /etc/ssh/sshd_config...sudo service ssh restart 使用时，Verification code：输入手机 app 生成的验证码即可。

3082 0

窃取SSH凭证的另一种方法

不久前，我曾写过一篇关于使用strace来获取ssh密码的文章。但该方法并不是时常有效的，因为在不同的发行版上strace的输出并不相同。所以在本文中，我将为大家介绍另外一种获取ssh密码的方法。...这种方法是我在ChokePoint找到的，他向我们展示了如何使用python创建PAM模块记录失败的尝试，现在我要做的就是更改登录密码的地方。原脚本中当登录失败时，使用的auth_log函数。...而在我的脚本中，当登录成功时使用的是我定义的函数sendMessage 该函数主要用于发送用户，密码以及连接的IP，以下是完整代码：我还创建了一个bash脚本用于自动化的安装这个ssh keylogger...，其中安装了所有的依赖关系，并在/etc/pam.d/sshd上配置了该PAM模块现在，只要有人成功登录了服务器，你就会收到以下的登录信息。...它也适用于sudo和su，只需添加以下代码到下面两个文件中或者你也可以直接git clone该项目并按照README.md上的说明进行操作 ?

8936 0

如何在CentOS上使用双重身份验证

准备本教程适用于运行CentOS 7的CVM服务，如果您还没有CVM服务器，可以在这里购买，不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验，学会安装后在购买服务器。...-7.noarch.rpm sudo rpm -Uvh epel-release-latest-7.noarch.rpm 接下来，安装您将用于生成密钥和密码的软件包： sudo yum install...使用sudo权限打开/etc/pam.d/sshd，并添加下面那些引用pam_oath.so的行（此处已注释标记，但您可以省略#后面的所有内容）。...如果您想使用公共密钥身份验证而不是TOTP密码，请按照下列步骤操作：注意在完成本节之前，请确认您的公钥已复制到您的CVM。通过在终端中输入ssh-add -l来查看已安装的SSH密钥。...如果发生这种情况，您应该在此期间切换到另一种强化的SSH访问方法，例如公钥认证。虽然双重身份验证是一项不错的安全功能，但总体的安全性是一个持续的过程，而不是仅仅通过添加额外的身份验证层就可以实现的。

1.9K3 0

如何在Ubuntu 18.04上配置多重身份验证

第1步 - 安装Google PAM模块要在Ubuntu 18.04上配置2FA，您需要安装适用于Linux的Google PAM模块。可插拔认证模块（PAM）是Linux使用的认证机制。...首先，以在先决条件中配置的非root用户身份登录： ssh sammy@your_server_ip 更新Ubuntu存储库以下载最新版本的验证器： sudo apt-get update 既然您的存储库是最新的...本教程中的其余步骤适用于所有Ubuntu安装，但远程环境需要其他更新才能使SSH服务知晓2FA。如果您不使用SSH访问Ubuntu安装，则可以立即继续执行本教程中的其余步骤。...无论使用何种桌面环境， common-auth文件都适用于系统上的所有身份验证机制。它还适用于在用户登录系统后发生的身份验证请求，例如在从终端安装新程序包时的sudo升级请求期间。...换句话说，已配置2FA的用户将需要在下次登录时输入身份验证代码，而未运行google-authenticator命令的用户将只能使用其用户名和密码登录，直到他们配置为止2FA。

2.6K3 0

6 个提升 Linux 服务器安全的开源工具和技巧

我使用我最熟悉的 Ubuntu 18.04 版本测试了这些步骤，但这些步骤也适用于其他 Linux 发行版。 1、运行更新开发者们不断地寻找方法，通过修补已知的漏洞，使服务器更加稳定、快速、安全。...我使用 UFW，所以我的例子是专门针对它的，但这些原则适用于你选择的任何防火墙。...allow outgoing 你也可以编写规则来允许你个人使用所需要的传入连接： ufw allow 例如，允许 SSH 连接： ufw allow ssh 最后，启用你的防火墙： sudo ufw...安装 libpam-cracklib 软件包： sudo apt-get install libpam-cracklib 强制要求密码的长度：打开 /etc/pam.d/common-password...在同一个文件（/etc/pam.d/common-password）中，找到包含 pam_cracklib.so 的行。

5251 0

快速搭建一个Linux内核调试环境

内核源码下载内核源码下载渠道：（1）git clone 内核，在git checkout某一个分支：git clone https://github.com/torvalds/linux.git 适用于...git commit补丁前的漏洞调试（2）https://cdn.kernel.org/pub/linux/kernel/v4.x/ 适用于4.x.x版本的内核，下不到更小的发行版（3）sudo apt-get...tap0 0.0.0.0 sudo brctl showstp br0 删除tap0 sudo tunctl -d tap0 b、qemu虚拟机上的配置：设置ssh登陆： sudo vim /etc.../pam.d/sshd 注释下面两处，运行root和普通用户ssh登陆： # Disallow non-root logins when /etc/nologin exists....sudo /etc/init.d/ssh start #启动ssh 启动qemu进行漏洞调试 qemu 启动脚本： sudo qemu-system-x86_64 \ -m 2G \

2.7K2 1

linux中禁用Root帐户的4种方法

它用于在系统上执行任何类型的任务；create/update/access/delete其他用户的帐户，install/remove/upgrade软件包。...root用户拥有绝对权力，执行的任何操作都对系统至关重要。在这方面，任何错误由root用户可能对系统的正常运行产生巨大影响。此外，该帐户也可能因意外、恶意或人为无视规则而被不当或不当使用而被滥用。...su、sudo、ssh 等程序以及其他相关的openssh 工具都可以访问root 帐户。 3....上述模块可用于引用不允许通过某些目标服务（例如 login、ssh 和任何 PAM 感知程序）登录的用户列表。...然后创建纯文件/etc/ssh/deniedusers 每行应该包含一个项目，而不是世界可读的。在其中添加名称 root，然后保存并关闭它。

3.3K1 0

linux中禁用Root帐户的4种方法

它用于在系统上执行任何类型的任务； create/update/access/delete其他用户的帐户，install/remove/upgrade软件包。...root用户拥有绝对权力，执行的任何操作都对系统至关重要。在这方面，任何错误由root用户可能对系统的正常运行产生巨大影响。此外，该帐户也可能因意外、恶意或人为无视规则而被不当或不当使用而被滥用。...su、sudo、ssh 等程序以及其他相关的openssh 工具都可以访问root 帐户。 3....上述模块可用于引用不允许通过某些目标服务（例如 login、ssh 和任何 PAM 感知程序）登录的用户列表。...然后创建纯文件/etc/ssh/deniedusers 每行应该包含一个项目，而不是世界可读的。在其中添加名称 root，然后保存并关闭它。

3.1K0 0

Linux系统安全基础知识

基本的系统安全物理安全和登录安全禁用root登录和sudo 可插拔认证模块（PAM）基于PAM的口令安全和口令策略基于PAM的访问控制 1、基本的系统安全安全的磁盘布局使用挂装选项提高文件系统的安全性...ALL=(ALL) ALL 五、su与sudo比较 su 直接切换为超级用户普通用户要切换为超级用户必须知道超级用户的口令 适用于系统中只有单个系统管理员的情况...sudo 直接使用 sudo 命令前缀执行系统管理命令执行系统管理命令时无需知道超级用户的口令 适用于系统中有多个系统管理员的情况允许 root 为几个用户或组委派权利...此后，如果您希望用户admin能够su作为root，可以运行如下命令：　 # usermod -G10 admin 六、修改ssh服务的登录权限修改ssh服务配置文件，使的ssh服务不允许直接使用...基于PAM的口令安全和口令策略 6、基于PAM的访问控制基于PAM的访问控制 5、基于PAM的口令安全和口令策略可插拔认证模块（PAM）基于PAM的口令安全和口令策略

2.5K1 0

如何在Ubuntu 14.04上为SSH设置多重身份验证

没有服务器的同学可以在这里购买，不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验，学会安装后再购买服务器。添加了SSH密钥的sudo非root用户。...PAM代表Pluggable Authentication Module，是Linux系统上用于对用户进行身份验证的身份验证基础结构。...sudo apt-get update 接下来，安装PAM。...sudo apt-get install libpam-google-authenticator 安装PAM后，我们将使用安装了PAM的帮助应用程序为要添加第二个因子的用户生成TOTP密钥。...首先，打开另一个终端，然后尝试SSH服务器。您会注意到您使用SSH密钥登录了第二个会话，而没有输入验证码或密码。这是因为默认情况下SSH密钥会覆盖所有其他身份验证选项。

1.4K0 0

Arch Linux (Manjaro) 配置与常用软件安装指南

正好@某昨在群里提到，于是我就心血来潮的装了个试试。Manjaro是我第三次尝试（之前是Ubuntu和短暂的Deepin）将Linux作为一个独立系统（而非WSL、虚拟机）用于日常使用。...经过一段时间的使用体验后，我深刻体验到了Arch系软件包之全的好处，其社区之完善与软件包质量之高是我之前未曾想到的。...代理只需要设置一个HTTP代理直连本地网络就行，这里提供一个适用于V2ray的配置（Gist）。之后在TIM的启动界面设置HTTP代理，IP为127.0.0.1，端口为8123即可。...配置手势编辑/etc/libinput-gestures.conf（不过这个是全局配置，不知道为什么我编辑用户的没有用）：注释掉已有配置，并根据需要调整。...桌面意外增加便签其实这个不是libinput-gestures的问题。找了半天，我发现是鼠标中键触发了添加便签，而三指点击是manjaro自带的触摸板手势中键。

8.5K2 0

使用 pam 帮我们记录su | sudo密码

使用 vim /etc/pam.d/password-auth 或者 vim /etc/pam.d/system-auth 编辑PAM模块, 配置用户命令的PAM审核 session required...pam_tty_audit.so disable=user1,user2 enable=user3,user4 如果我们需要记录所有用户的数据(包括密码), 还需要使用log_passwd选项 session...required pam_tty_audit.so enable=* log_passwd 存储的日志存放在 /var/log/audit/audit.log, 命令内容存放在data, 测试发现root...及更高版本中受支持, 这种方法适用于 su/sudo 获取加密的密码数据(hex 加密的), 但是无法获取系统登录的密码,如果需要记录,作者提供了参考链接(http://www.adeptus-mechanicus.com.../codex/logsshp/logsshp.html) Ubuntu（Debian）和 centos 类似 vim /etc/ssh/sshd_config 依赖项 yum install auditd

1.6K3 0

基于 Wazuh-常见主机入侵检测方法

相关的变量问题： 1、找出 sudo 执行进程的环境变量 2、su 的怎么判断？...echo 的命令监控没有效果，正常是会有的，后面发现是我这边 wazuh 的。.../etc/hosts.allow, /etc/hosts.deny，用于拒绝和接受。...任意密码登陆的核心是 auth sufficient pam_rootok.so，所以只要 PAM 配置文件中包含此配置即可 SSH 任意密码登陆，除了 su 中之外还有 chsh、chfn 同样可以。...> PAM 后门确保 ssh 开启 pam 支持 vim /etc/ssh/sshd_config UsePAM yes 自动化脚本: https://github.com

8.3K5 0

Linux 系统安全与优化配置

证书的 passphrase 是可以通过openssl工具将其剥离的，SSH证书我没有试过，但是原理都差不多。 1.5....这样做的确非常方便，但是你是否想过你的电脑一旦丢失或者被其他人进入，那有多么危险。我之前每天背着笔记本电脑上班，上面安装着XShell并且密码全部记忆在里面。...这使我意识到一点电脑丢失，有多么可怕。禁止SSH客户端记住密码，你不要要求别人那么做。你也无法控制，最终我找到了一种解决方案。...vim /etc/ssh/sshd_config PermitRootLogin no 然后在测试从www sudo 执行命令, 可能成功启动nginx 与 php-fpm 2.3....nobody soft nofile 4096 nobody hard nofile 8192 为什么会设置为nobody用户呢？

1.9K4 0

为你的CVM设置SSH密钥吧！

第一步、安装Google的PAM 在这个步骤中，我们将安装和配置Google的PAM。 PAM，可插拔认证模块，用于对用户进行身份验证的Linux系统上的身份验证基础结构。...你可以用sudo yum install nano，或者使用您最喜欢的替代文本编辑器。 sudo nano /etc/pam.d/sshd 将以下行添加到文件的底部。...否则，您将需要一个具有sudo访问权限的管理用户；确保不为该用户启用MFA，而只使用一个SSH密钥。...一旦用于登录，就不能再次用作验证代码。提示2-更改身份验证设置如果希望在初始配置之后更改mfa设置，而不是使用更新的设置生成新配置，则只需编辑~/.google-authenticator文件。...若要允许某些帐户的MFA和仅用于其他帐户的SSH键，请确保在/etc/pam.d/sshd。

2.8K2 0

Linux 系统安全与优化配置

证书的 passphrase 是可以通过openssl工具将其剥离的，SSH证书我没有试过，但是原理都差不多。 1.5....这样做的确非常方便，但是你是否想过你的电脑一旦丢失或者被其他人进入，那有多么危险。我之前每天背着笔记本电脑上班，上面安装着XShell并且密码全部记忆在里面。...这使我意识到一点电脑丢失，有多么可怕。禁止SSH客户端记住密码，你不要要求别人那么做。你也无法控制，最终我找到了一种解决方案。...vim /etc/ssh/sshd_config PermitRootLogin no 然后在测试从www sudo 执行命令, 可能成功启动nginx 与 php-fpm 2.3....nobody soft nofile 4096 nobody hard nofile 8192 为什么会设置为nobody用户呢？

2.5K5 0

Linux 系统安全与优化配置

证书的 passphrase 是可以通过openssl工具将其剥离的，SSH证书我没有试过，但是原理都差不多。 1.5....这样做的确非常方便，但是你是否想过你的电脑一旦丢失或者被其他人进入，那有多么危险。我之前每天背着笔记本电脑上班，上面安装着XShell并且密码全部记忆在里面。...这使我意识到一点电脑丢失，有多么可怕。禁止SSH客户端记住密码，你不要要求别人那么做。你也无法控制，最终我找到了一种解决方案。...vim /etc/ssh/sshd_config PermitRootLogin no 然后在测试从www sudo 执行命令, 可能成功启动nginx 与 php-fpm 2.3....nobody soft nofile 4096 nobody hard nofile 8192 为什么会设置为nobody用户呢？

2.3K5 0

ubuntu密码设置规则_密码复杂性策略

大家好，又见面了，我是你们的朋友全栈君。...passwd root 默认root用户被禁止登录，如果需要解除限制，修改配置即可 sudo vim /etc/ssh/sshd_config 将默认配置注释掉，添加一行新的配置，默认的配置为允许root...模块，cracklib能提供额外的密码检查能力 sudo apt-get install libpam-cracklib 2、相关策略设置（1）禁止使用旧密码 sudo vim /etc/pam.d/...-u user 远程ssh的时候，输入密码错误超过三次但是没有提示，但是只要超过设定的值，输入正确的密码也是登陆不了的！...autrace : 一个用于跟踪进程的命令。 /etc/audit/audit.rules : 记录审计规则的文件。

3.2K2 0

通过询问-响应身份认证提高桌面登录安全

这可以防止其他人仅仅使用了找到的硬件令牌，或是只使用了账户名密码而没有正确的加密密钥。这意味着除了你的账户名密码之外，你必须事先在你的操作系统中注册了一个或多个加密硬件令牌。...下面这些过程适用于 Fedora 27、28 和 29. 准备硬件令牌密钥首先，你需要一个安全的硬件令牌密钥。...较为简单的 FIDO 和 FIDO U2F 版本不适用于这个过程，但是非常适合使用 FIDO 的在线服务。...配置 /etc/pam.d/sudo 现在要去验证配置是否有效，在同一个终端窗口中，你需要设置 sudo 来要求使用 Yubikey 的询问-响应。...将下面这几行插入到 /etc/pam.d/sudo 文件中。

7712 0

Linux权限维持入门学习

利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。乌鸦安全拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经允许，禁止转载！...本文所提供的工具仅用于学习，禁止用于其他，请在24小时内删除工具文件！！！...Linux软连接ssh后门需要ssh配置允许PAM认证才能使用。...模块 pam_rootok.so 主要作用是使得uid为0的用户，即root用户可以直接通过认证而不需要输入密码。...这里主要是记录该用户的键盘操作，并无法记录登录靶机的ssh密码信息。 2.5.1 记录ssh的操作。通过命令替换动态跟踪系统调用和数据，可以用来记录用户ssh、su、sudo的操作。

3566 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭