Вопросы Теги

Предотвращение авторизации vsFTP через AD

Вы можете использовать массив для получения результатов и использовать количество элементов массива для отображения N IP-адресов, найденных в строке DNS . Также можно выполнять итерацию по массиву или использовать определенные элементы из массива: 

#!/bin/bash

myarray=( $(dig www.google.com A +short | grep -oE "\b(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?\.){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\b" ) )
echo "${#myarray[@]} IPs found in DNS"

for IP in ${myarray[@]}
do
    echo IP: $IP
done

echo "The third entry found in DNS is: ${myarray[2]}"
0
12.03.2018, 20:06
2 ответа

Модули PAM, участвующие в аутентификации vsFTPd, определены в /etc/pam.d/vsftpd. По умолчанию имеет строку:

auth   include    password-auth

, который использует общесистемную -конфигурацию PAM по умолчанию для аутентификации на основе пароля -, которая указана в /etc/pam.d/password-auth. Когда аутентификация AD настроена, соответствующие модули PAM обычно добавляются в /etc/pam.d/password-auth.

Если вы не хотите, чтобы аутентификация AD вообще работала с vsFTPd, отредактируйте файл /etc/pam.d/vsftpd. Закомментируйте строку 

auth   include   password-auth

и после закомментированной строки -впишите соответствующие строки из файла password-auth, так как он существует в системе без настроенной аутентификации AD:

auth    required     pam_env.so
auth    required     pam_faildelay.so delay=2000000
auth    sufficient   pam_unix.so nullok try_first_pass
auth    requisite    pam_succeed_if.so uid >= 1000 quiet_success
auth    required     pam_deny.so

Таким образом, модуль провайдера аутентификации AD будет полностью исключен из участия в аутентификации vsFTPd, поэтому для vsFTPd процесс аутентификации происходит так же, как если бы система вообще не имела интеграции с AD.

1
28.01.2020, 02:43

Поставщик SSSD AD позволяет оценивать политики GPO для управления доступом и передавать права входа в Windows службам PAM Linux. Я бы порекомендовал изучить этот путь. Кстати, я бы также посоветовал не заносить службу в черный список, а пойти другим путем, внести в белый список только те службы, которые вы хотите разрешить на хостах Linux. На справочной странице sssd -ad должно быть несколько примеров сопоставления прав входа в систему со службами PAM.

0
28.01.2020, 02:43

Теги

Похожие вопросы