Вопросы Теги

Как разрешить icmp для вашей машины?

Параметр был добавлен в pam _unix.so (примерно в феврале -2016 )под названием no _pass _expiry(исходный код изменить здесь или справочная страница здесь). По сути, он указывает pam _unix игнорировать пароль с истекшим сроком действия, если для аутентификации использовалось что-то другое, кроме pam _unix, например. если sshd выполнил авторизацию.

В результате, если у вас есть версия pam _unix.so, содержащая этот параметр, вы сможете настроить PAM на:

  1. По-прежнему выдается предупреждение, но не требуется изменение пароля с истекшим сроком действия, если для аутентификации через ssh использовался ключ SSH
  2. Требовать смену просроченного пароля, если для аутентификации по ssh использовался логин/пароль через pam _unix.so
  3. Не влияет на другие последовательности аутентификации (, например. через службу входа в систему ).

Например, я настроил сервер RHEL 7 для выполнения описанных выше действий, просто обновив файл /etc/pam.d/sshd и добавив pam _unix.so no _pass _expiration как для учетной записи, так и для типы паролей, например 

account    required    pam_nologin.so
account    sufficient  pam_unix.so no_pass_expiry
account    include     password-auth
password   sufficient  pam_unix.so no_pass_expiry
password   include     password-auth

-2
29.09.2019, 21:47
1 ответ

Прежде всего :Я полагаю, что под "сервером" вы подразумеваете сервер на базе GNU/Linux -, а "ping" означает обычный эхо-запрос IPv4 ICMP?

Пинг обычно разрешен по умолчанию.

Чтобы проверить, включен ли ping-транспондер IPv4 на сервере под управлением GNU/Linux -, выполните следующую команду на своем сервере:

cat /proc/sys/net/ipv4/icmp_echo_ignore_all

Он должен вывести 0, что означает, что ping включен , т. е. эхо-запрос IPv4 ICMP не игнорируется.

  • Но в маловероятном случае, если он действительно выдал 1(, что означает, что ping отключен ), выполните следующую команду на своем сервере как root:

    sysctl -w net.ipv4.icmp_echo_ignore_all=0

    Теперь ваш сервер должен отвечать на эхо-запрос IPv4. Если вы хотите, чтобы он сохранялся после перезагрузки, добавьте эту строку в/etc/sysctl.conf

    net.ipv4.icmp_echo_ignore_all=0

П.С. Пинг IPv6 — это другой зверь, и для его приручения потребуется конфигурация iptables.

2
28.01.2020, 05:15

Теги

Похожие вопросы