সিসলগে পিএএম ডিবাগিংটি চালু করুন

আমি প্যামকে ঘৃণা করি যেহেতু এটি আসেনি।

অ্যাডমিন স্তরে আমি ডিবিয়ান স্কিজে পিএএম ডিবাগিং কীভাবে স্যুইচ করব?

আমি যে সকল সংস্থান সন্ধান করতে পেরেছিলাম তা যাচাই করেছি। গুগল, ম্যানপেইজগুলি, যাই হোক না কেন। কেবলমাত্র আমি এখনও চেষ্টা করি নি (আমি কেবল সাহস করি না, আমি কি উল্লেখ করেছি যে আমি প্যামকে ঘৃণা করি?) প্যামের লাইব্রেরির উত্স খনন করছে।

আমি একটি সমাধানের জন্য গুগল চেষ্টা করেছি, কিছুই না। আমি এখন পর্যন্ত কি খুঁজে পেয়েছি:

http://www.bitbull.ch/wiki/index.php/Pam_debugging_funktion ( /etc/pam_debug) এবং http://nixdoc.net/man-pages/HP-UX/man4/pam.conf.4.html ( debugপিএএম এন্ট্রিগুলিতে বিকল্প in /etc/pam.d/)।

নাহ, কাজ করে না। কোনও প্যাম আউটপুট নেই, কিছুই নয়, নিরব নিরবতা।

সমাধান অনুসন্ধান করার সময় আমি পামের লিঙ্কগুলিও অনুসরণ করেছিলাম, এটি জার্মানিতে গ্যাস স্টেশন stations ঠিক আছে, হ্যাঁ, সম্ভবত এই সমস্ত বিলিয়ন হিটগুলিতে কোনও সূত্র লুকিয়ে থাকতে পারে, তবে আমি আবিষ্কার করব আমি আবিষ্কার করার আগেই আমি মারা গিয়েছিলাম।

বিশ্রামটি এফওয়াইআই:

আমার কী সমস্যা ছিল?

ডেবিয়ান স্কুইজে আপগ্রেড করার পরে কিছু অদ্ভুত হয়ে উঠল (ভাল, হেই, এটি একবার ছিল, আহ, এ্যাচ-এর ঠিক কী ছিল .. আহ, হ্যাঁ, উডি)। সুতরাং এটি সম্ভবত ডিবিয়ান এর দোষ নয়, কেবল দীর্ঘকাল ধরে চিকিত্সা সেটআপ করুন। আমি তাত্ক্ষণিকভাবে এই ধারণাটি অনুভব করেছি যে এটি পিএএম এর সাথে কিছু করার আছে, তবে আমি সত্যিই জানিনা কী চলছে। আমি পুরোপুরি অন্ধকারে ছিলাম, বাচ্চা হয়ে অসহায় হয়ে পড়েছিলাম, ওয়াইকেডব্লিউম। কিছু ssh লগইন কাজ করেছে, কিছু না। এটা মজার ছিল। কোন সংকেত সনাক্ত করুন ssh -v, কোন সংকেত সনাক্ত করুন /var/log/*, কিছুই। কেবল "প্রমাণ সাফল্য" বা "লেখক ব্যর্থ", কখনও কখনও একই ব্যবহারকারী লগইন একই সময়ে একটি অধিবেশন সমান্তরালভাবে সফল হয় এবং অন্যটির সাথে ব্যর্থ হয়। এবং সত্যিই আপনি কিছু ধরে রাখতে পারবেন না।

অন্যান্য বিকল্পগুলির ট্রেনলোডগুলি খননের পরে আমি এটি সন্ধান করতে সক্ষম হয়েছি। একটি ডেবিয়ান বিশেষ আছে nullokএবং nullok_secure। কিছু দিয়ে স্ক্রু করা হয়েছে /etc/securettyএবং এর উপর নির্ভর করে tty(যা কিছুটা এলোমেলো) কোনও লগইন প্রত্যাখ্যান করা হয়েছিল কি না। সত্যিই খুব ভাল, ভাই!

ঠিক করা সহজ ছিল এবং সবকিছু আবার ঠিক আছে fine

তবে এটি আমাকে এই প্রশ্নে ফেলে রেখেছিল, কীভাবে ভবিষ্যতে এই জাতীয় গোলযোগটি ডিবাগ করা যায় । প্যাম প্রথমবার আমাকে বাদাম চালায় না। সুতরাং আমি একটি চূড়ান্ত সমাধান দেখতে চাই। "সমাধান" হিসাবে চূড়ান্ত, "আর্মেজেডন" হিসাবে চূড়ান্ত নয়। ধন্যবাদ।

আহ, বিটিডব্লিউ, এটি আবার আমার বিশ্বাসকে আরও দৃ strengthened় করেছে যে প্যামের সামনে আসার পর থেকে এটি ঘৃণা করা ভাল। আমি কি উল্লেখ করেছি?

আপনার চেষ্টা করার জন্য কয়েকটি জিনিস:

আপনি কি সিসলগে ডিবাগ বার্তাগুলি লগিং সক্ষম করেছেন?

cp /etc/syslog.conf /etc/syslog.conf.original
vi /etc/syslog.conf

নিম্নলিখিত লাইন যুক্ত করুন:

*.debug     /var/log/debug.log

সাথে প্রস্থান করুন :wq!।

touch /var/log/debug.log
service syslog restart

আপনি এর মতো সমস্ত মডিউলগুলির জন্য ডিবাগিং সক্ষম করতে পারেন:

touch /etc/pam_debug

অথবা আপনি কেবল যে মডিউলগুলিতে আগ্রহী সেগুলির জন্য /etc/pam.d/system-authবা ডিবাগগুলি প্রাসঙ্গিক লাইনগুলির শেষে "ডিবাগ" যুক্ত করে ডিবাগিং সক্ষম করতে পারেন /etc/pam.d/*:

login   auth    required    pam_unix.so debug

তারপরে ডিবাগিং বার্তাগুলি উপস্থিত হওয়া শুরু করা উচিত /var/log/debug.log। আশা করি এটি আপনাকে সাহায্য করবে!

কমপক্ষে CentOS 6.4 এ /etc/pam_debugব্যবহৃত হয় না।

যদি পাম_ওয়ার্ন.সো মডিউলটি ইনস্টল করা থাকে তবে আপনি এইভাবে কিছু লগিং আউটপুট পেতে পারেন:

auth required pam_warn.so

success required pam_warn.so

ইত্যাদি। এই মডিউলটি নিশ্চিত করে যে এটি কোনও পর্যায়ে প্রমাণীকরণ প্রক্রিয়াটিতে হস্তক্ষেপ করবে না, তবে এটি সিসলগের মাধ্যমে অর্থবহ স্টাফ লগ করে।

হালনাগাদ

কোডটি পরীক্ষা করে কিছু সংকলন করার পরে আমি দেখতে পেলাম যে (1) উত্সের মাধ্যমে এই ডিবাগ মোডটি সক্ষম করা সম্ভব এবং (2) একটি আরএইচইএল প্যাচ বৈশিষ্ট্যটিকে প্রায় অকেজো করে তোলে (কমপক্ষে পাম_উনিক্স মডিউল) এবং (3) এটি কোড প্যাচ করা সম্ভবত ভাল।

এটি আরএইচএল-এর পক্ষে কাজ করার জন্য, আপনি লিনাক্স-প্যাম ... src.rpm (যে কোনও 1.1 সংস্করণের জন্য) পেতে পারেন এবং স্পেক ফাইলটি নীচে পরিবর্তন করতে পারেন:

• শুরু করে লাইনটি সন্ধান করুন

  % কনফিগার

এবং এটির পরে - সক্ষম-ডিবেগ add

• % প্যাচ 2 দিয়ে শুরু হওয়া লাইনটি সরিয়ে ফেলুন বা লাইনটি (পূর্ববর্তীটির উপরে) মন্তব্য করুন

তারপরে আরপিএমটি তৈরি করুন এবং (বিদ্যমান প্যাকেজগুলি ওভাররাইট করার জন্য বল প্রয়োগের সাথে) ইনস্টল করুন। এখন /var/run/pam-debug.log ফাইলটি তৈরি করুন:

install -m 622 /dev/null /var/run/pam-debug.log

যদি ফাইলটি বিদ্যমান না থাকে তবে ডিবাগ আউটপুট স্ট্ডারকে প্রেরণ করা হবে।

• এটি স্ট্যাডারকে প্রেরণ করা আমার মতে বোকা এবং প্যাচ বিরোধের কারণ causes আপনি libpam / অন্তর্ভুক্ত / সিকিউরিটি / _প্যাম_ম্যাক্রোস ফাইল ফাইলের মধ্যে গিয়ে এবং 4 টি লাইন প্রতিস্থাপন করে সেই আচরণটি পরিবর্তন করতে পারেন

  লগফিল = স্ট্ডার;

সঙ্গে

return;

বিল্ড ইন, আপনি অ্যাক্সেসযোগ্য বক্তব্য সম্পর্কে সতর্কতা পাবেন তবে সেগুলি উপেক্ষা করা যেতে পারে। আপনি এই পরিবর্তনটি একটি সেড স্ক্রিপ্টে করতে পারেন (এবং এটি প্যাচগুলির পরে আরপিএমের% প্রস্তুতি বিভাগে রেখে দিতে পারেন) ...

sed -i 's/logfile = stderr;$/return;/' libpam/include/security/_pam_macros.h

যদি আপনি এই ছোট প্যাচটি করেন তবে আপনি% প্যাচ 2 পুনরুদ্ধার করতে পারবেন, কারণ এটি আবার ঠিকভাবে কাজ করা উচিত।

সেন্টোস .4.৪-তে PAM- এ ডিবাগ লগগুলি কীভাবে সক্ষম করা যায় তা সন্ধান করার জন্য আমি বেশ কয়েক ঘন্টা ব্যয় করতে পেরেছিলাম। যদিও এই প্রশ্নটি ডেবিয়ানের জন্য, আমি এখনও সেন্টোস-এ এটি কীভাবে করব তা এই লেখায় লিখব যে আমার ইতিমধ্যে যে সময়টি অন্য লোকদের দিতে হবে না।

এটি শেষ পর্যন্ত দেখা গেছে, pamসেন্টোস প্যাকেজে ডিবাগ লগ সক্ষম করা সোজা is অসুবিধাটি এই প্যাকেজের পুনঃসংশোধনের সাথে জড়িত from সুতরাং, প্রথমে এখানpam-1.1.1-13.el6.src.rpm থেকে এসআরপিএম (যেমন ) সন্ধান করুন । লোকেরা যারা এসআরপিএম থেকে প্যাকেজ সংকলন সম্পর্কে জানেন না, তারা আরপিএম বিল্ড এনভায়রনমেন্ট সেট আপ করার পদক্ষেপগুলি উল্লেখ করতে পারেন ।

এখানে মূল পদক্ষেপ। বৈশিষ্ট ফাইল খুলুন এবং যোগ --enable-debugকরার জন্য %buildঅধ্যায় configureআবাহন। কম্পাইল! সদ্য নির্মিত প্যাকেজটি পুনরায় ইনস্টল করুন। অবশেষে, ফাইলটি তৈরি করুন যেখানে ডিবাগ লগগুলি লেখা হবে।

$ sudo touch /var/run/pam-debug.log

আপনি যদি ফাইলটি তৈরি না করেন তবে টার্মিনালে প্রচুর লগ উড়ে যাবে, যা খুব কার্যকর নাও হতে পারে।

ডেবিয়ান এবং উবুন্টু (এবং অন্যান্য ডিস্ট্রোস) এর একটি বিশেষ লগ ফাইল রয়েছে যাতে সমস্ত পাম আউটপুট লগ হয়:

/var/log/auth.log

আমি দেড় দিন ধরে পাম সম্পর্কিত সমস্যার সাথে লড়াই করছি, অবশেষে এই লগ ফাইলটি খুঁজে পেয়েছি এবং নিজেকে পাগলামি থেকে রক্ষা পেয়েছি।

পরিকল্পনা অনুযায়ী জিনিসগুলি না গেলে এই ফাইলটির বিষয়বস্তুর একটি নমুনা এখানে দেওয়া আছে।

Jul 10 09:31:14 vagrant-ubuntu-trusty-64 pamtester: pam_userdb(vsftpd:auth): user_lookup: could not open database `/etc/vsftpd_users.db': No such file or directory
Jul 10 09:36:20 vagrant-ubuntu-trusty-64 sudo:  vagrant : TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/cat /var/log/auth.log

এটি যখন কাজ করে তখন এখানে কেমন দেখাচ্ছে:

Jul 10 09:47:00 vagrant-ubuntu-trusty-64 sshd[5222]: pam_unix(sshd:session): session closed for user vagrant
Jul 10 09:50:58 vagrant-ubuntu-trusty-64 sshd[5584]: error: Could not load host key: /etc/ssh/ssh_host_ed25519_key
Jul 10 09:50:58 vagrant-ubuntu-trusty-64 sshd[5584]: Accepted publickey for vagrant from 10.0.2.2 port 54652 ssh2: RSA dd:3b:b8:2e:85:04:06:e9:ab:ff:a8:0a:c0:04:6e:d6
Jul 10 09:50:58 vagrant-ubuntu-trusty-64 sshd[5584]: pam_unix(sshd:session): session opened for user vagrant by (uid=0)
Jul 10 09:51:13 vagrant-ubuntu-trusty-64 sudo:  vagrant : TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/cat /var/log/auth.log
Jul 10 09:51:13 vagrant-ubuntu-trusty-64 sudo: pam_unix(sudo:session): session opened for user root by vagrant(uid=0)
Jul 10 09:51:13 vagrant-ubuntu-trusty-64 sudo: pam_unix(sudo:session): session closed for user root
Jul 10 09:51:41 vagrant-ubuntu-trusty-64 pamtester: pam_userdb(vsftpd:auth): user 'foo' granted access
Jul 10 09:51:44 vagrant-ubuntu-trusty-64 sudo:  vagrant : TTY=pts/1 ; PWD=/home/vagrant ; USER=root ; COMMAND=/bin/cat /var/log/auth.log
Jul 10 09:51:44 vagrant-ubuntu-trusty-64 sudo: pam_unix(sudo:session): session opened for user root by vagrant(uid=0)

মনে রাখবেন পাম ডিবাগ লগিং সক্ষম করার জন্য অন্য কোনও সম্ভাবনা আমার পক্ষে কাজ করে নি।

/ ইত্যাদি / সুরক্ষিতের সাথে কিছু কলঙ্কিত হয়েছে এবং টিটিটির উপর নির্ভর করে (যা কিছুটা এলোমেলো) লগইন প্রত্যাখ্যান করা হয়েছিল কি না। সত্যিই খুব ভাল, ভাই!

আপনি কি একটু বাড়িয়ে দিতে পারবেন?

প্রতি securetty- তে এর র manpage :

the file contains the device names of terminal lines (one per line, without leading /dev/) on which root is allowed to login.

আপনি যে আচরণটি বর্ণনা করেছেন সেটি সুরক্ষিতের মতো স্বাভাবিকভাবে কাজ করার মতো শোনায় (ধরে নিই যে আপনি সত্যিকার অর্থে রুট হিসাবে লগ ইন করছেন)।

কিছু ssh লগইন কাজ করেছে, কিছু না।

এখানেও, সেখানে পাম-নন বিধিনিষেধ থাকতে পারে, সুতরাং এটি আপনার /etc/ssh/sshd_configচেহারা কেমন তা কিছুটা অন্তর্দৃষ্টি সরবরাহ করতে সহায়তা করতে পারে ।

উল্লেখযোগ্যভাবে, আপনার বিবরণ থেকে:

• আপনি যদি রুট হিসাবে লগ ইন করার চেষ্টা করছেন এবং ব্যর্থ হন, তবে এই লাইনটি উপস্থিত থাকার কারণে এটি হতে পারে sshd_config:PermitRootLogin no
• কিছু ব্যবহারকারী / গ্রুপ কাজ, এবং অন্যদের না হলে, এক কারণে ব্যবহারের হতে পারে sshd_configএর AllowGroupsবা AllowUsers। একটি নমুনা লাইন দেখতে পারে: AllowGroups users admins

এটি অবশ্যই সম্পূর্ণ সম্ভব পিএএম সমস্যাটির অংশ, তবে আপনার প্রধান 'লক্ষণগুলি' আমার কাছে মনে হচ্ছে এগুলি অন্য উপায়ে ব্যাখ্যা করা যেতে পারে।

জিজ্ঞাসা করুন ... আমি আপনার পোস্টটি সত্যিই পছন্দ করেছি :) আমি গত 15 ঘন্টা ধরে এই জাতীয় জিনিসগুলির সাথে লড়াই করছি ... (যদিও আমার 30 মিনিটের বিরতি থাকতে পারে)

কোনওভাবেই আপনি এটি করেছেন এমন সমস্ত জিনিস করে এটি কাজ করেছিলাম যার অর্থ আমার কাছে একটি / ইত্যাদি / পাম_দেবগ এবং প্যাম এন্ট্রিগুলিতে ডিবাগ রয়েছে। কিন্তু আমার ক্ষেত্রে আমি সঙ্গে সংগ্রাম ছিল pam_mysql, আমি অন্য রাখা ছিল verbose=1পরে debugআমার পাম এন্ট্রি করুন:

mailsystem:~# cat /etc/pam.d/smtp

auth required pam_mysql.so debug sqllog=1 verbose=1 user=mail passwd=imverysecret host=127.0.0.1 db=mail table=mailbox usercolumn=username passwdcolumn=password crypt=1 logtable=log_auth logmsgcolumn=msg logusercolumn=user logpidcolumn=pid loghostcolumn=host logtimecolumn=time

account sufficient pam_mysql.so debug sqllog=1 verbose=1 user=mail passwd=imverysecret host=127.0.0.1 db=mail table=mailbox usercolumn=username passwdcolumn=password crypt=1 logtable=log_auth logmsgcolumn=msg logusercolumn=user logpidcolumn=pid loghostcolumn=host logtimecolumn=times

যে "sqllog" কেবল ডিবিতে লগ লিখতে হয়।

সুতরাং এটি আপনাকে সামান্য কিছুটা সহায়তা করে।

আমরা সবাই প্যামকে ঘৃণা করি। শুভকামনা!