Início / unix / Perguntas / 786629
Accepted
RubenLaguna
Asked: 2024-11-14 21:16:10 +0800 CST

Como evitar acesso ssh após a data de expiração da conta Linux?

  • 772

Fiquei um pouco surpreso pelo fato de um usuário ainda poder ter acesso ssh a uma máquina Linux (Ubuntu 18.04.6 LTS) cuja conta expirou.

Configurei a data de expiração da conta com chage:

sudo chage -l xxxx
Last password change                    : Oct 10, 2024
Password expires                    : never
Password inactive                   : never
Account expires                     : Nov 05, 2024
Minimum number of days between password change      : 0
Maximum number of days between password change      : 99999
Number of days of warning before password expires   : 7

A conta expirou em 2024-11-05, mas o usuário ainda pode acessar ela por SSH.

Existe alguma configuração no servidor sshd ou PAM para impor a expiração da conta?

Até onde sei, o sshd tem UsePAM yesum PAM que deve impedir o login, mas a única coisa que ele faz é imprimir um Your account has expired; please contact your system administratorno banner ssh.

Eu recebo a mesma coisa se eu fizer sudo su xxxx, eu recebo um Your account has expired; please contact your system administratormas recebo o prompt do shell de qualquer maneira.

ssh

1 respostas

  1. Best Answer

    O PAM é um sistema modular; ele depende inteiramente da configuração /etc/pam.d/para definir quais módulos são chamados e como seus resultados são considerados no resultado geral da chamada do PAM.

    Por exemplo, cada módulo pode ser carregado como 'obrigatório', onde o código de erro retornado eventualmente tem um efeito no final, ou como 'requisitado', onde o código de erro é um retorno de falha imediato , ou como 'opcional', onde os erros daquele módulo são simplesmente ignorados, ou algumas outras opções (veja pam(8) e pam.conf(5) ).

    A expiração de acordo com os dados /etc/shadow é manipulada pam_unix.sona accountseção (authorization) da configuração do PAM. Se você receber a mensagem "Account expired" do pam_unix, mas isso não interromper o processo, então parece que o módulo foi (acidentalmente ou não) definido como optionalem vez de required.

    Quando sshd manipula uma conexão, ele usa módulos de /etc/pam.d/sshd; quando su é executado, ele usa suou su-l. Eles geralmente incluem um comum /etc/pam.d/system-authou similar. Passe por todas essas configurações até encontrar o módulo mal configurado e conserte-o para dizer 'required'.

    $ grep -r account.*pam_unix /etc/pam.d
system-auth:16:account    required                    pam_unix.so

    Observe que o mesmo módulo em seções diferentes executa tarefas diferentes:

    • A seção 'auth' lida especificamente com a verificação de senhas (por exemplo, pam_unix verifica senhas em /etc/shadow); esta seção é ignorada para logins sem senha, como chaves SSH.
    • A seção 'account' é responsável pelo controle geral de acesso (independentemente do método de autenticação), então é onde o pam_unix aplica as verificações de expiração e bloqueio.
    • A seção 'session' é responsável pela configuração da sessão, onde o mesmo módulo pam_unix apenas registra uma mensagem inútil no syslog.
    • A seção 'senha' manipula alterações de senha usando o passwdcomando.
    • 2

relate perguntas