Início / unix / Perguntas / 429715
Accepted
Fishy
Asked: 2018-03-13 03:53:48 +0800 CST

Impedir autenticação vsFTP via AD

  • 772

Tenho uma vm bem pequena instalada, para fins de teste, rodando o CentOS 1708, com o vsftp configurado. eu usei

https://www.rootusers.com/how-to-join-centos-linux-to-an-active-directory-domain/

para configurar a autenticação do anúncio para a parte do sistema operacional, mas não queria que os usuários do anúncio pudessem fazer login via cliente FTP.

Principalmente, preciso da autenticação do anúncio para fins de administração via ssh internamente, não pela Internet, e logins de FTP puramente por meio de usuários locais.

Percebi que, se um usuário não tiver feito login nesta vm via ssh, ele não poderá fazer login via ftp na porta 21 usando credenciais de anúncio, pois falha ao criar o diretório inicial.

o que é bom, eu acho, mas estou procurando uma maneira de impedir completamente a autenticação do anúncio via AD, permitida apenas via ssh ou terminal

Não quero autenticação de anúncios via ftp, pois isso coloca meus usuários de anúncios na Internet em risco de serem "hackeados" ou bloqueados

alguma sugestão sobre como eu posso fazer isso?

vsftpd sssd

2 respostas

  1. Best Answer

    Os módulos PAM envolvidos na autenticação vsFTPd são definidos em /etc/pam.d/vsftpd. Por padrão, ele tem uma linha:

    auth   include    password-auth

    que usa a configuração PAM padrão em todo o sistema para autenticação baseada em senha especificada em /etc/pam.d/password-auth. Quando a autenticação AD é configurada, os módulos PAM relevantes são normalmente adicionados a arquivos /etc/pam.d/password-auth.

    Se você não deseja que a autenticação do AD funcione com o vsFTPd, edite /etc/pam.d/vsftpdo arquivo. Comente a linha

    auth   include   password-auth

    e após a linha comentada, escreva as linhas relevantes do password-autharquivo como ele existe em um sistema sem autenticação AD configurada:

    auth    required     pam_env.so
auth    required     pam_faildelay.so delay=2000000
auth    sufficient   pam_unix.so nullok try_first_pass
auth    requisite    pam_succeed_if.so uid >= 1000 quiet_success
auth    required     pam_deny.so

    Desta forma, o módulo do provedor de autenticação AD será completamente impedido de participar da autenticação vsFTPd, então para vsFTPd o processo de autenticação acontece como se o sistema não tivesse nenhuma integração AD.

    • 1

  2. O provedor SSSD AD permite avaliar as políticas de GPO para controle de acesso e pam os direitos de logon do Windows nos serviços PAM do Linux. Eu recomendaria explorar este caminho. aliás, eu também sugeriria não colocar um serviço na lista negra, mas ir para o outro lado, colocar na lista branca apenas os serviços que você deseja permitir nos hosts Linux. A página man sssd-ad deve ter alguns exemplos de mapeamento dos direitos de logon para serviços PAM.

    • 0

relate perguntas