pam：ログイン時の作業（失敗）

Question

pam_execモジュールといくつかのトリックを使用してPAMこれを行うことができます。PAM構成はディストリビューションによって大きく異なる場合が多いため、構成を理解して調整する必要があります。

Debianの場合（7.1でテスト済み）編集/etc/pam.d/common-auth（明確にするためにコメントは省略）

今後

auth    [success=1 default=ignore]    pam_unix.so nullok_secure
auth    requisite                     pam_deny.so
auth    required                      pam_permit.so

後ろに

auth    [success=2 default=ignore]    pam_unix.so nullok_secure
auth    optional                      pam_exec.so /common-auth-pam_exec
auth    requisite                     pam_deny.so
auth    required                      pam_permit.so

実際に起こるのは、成功するpam_unix.soと次の2つのモジュールをスキップし、常にpam_permit.so成功したモジュールにジャンプすることです。認証に失敗した場合は、PAMまずスクリプトを実行してから実行してください。このモジュールは常に失敗し、制御フラグをpam_deny設定するため、他のモジュールは実行されません。requisite

完全性のために、プログラムはpam_exec呼び出しプロセスの実際のユーザーIDで実行することによって生成されます（setuidオプションは有効なユーザーIDで実行されます）、プロセス環境は次のとおりです。

PAM_SERVICE=login
PAM_RHOST=
PAM_USER=<username_here>
PAM_TYPE=auth
PAM_TTY=/dev/tty1

Answer 1

pam_execモジュールといくつかのトリックを使用してPAMこれを行うことができます。PAM構成はディストリビューションによって大きく異なる場合が多いため、構成を理解して調整する必要があります。

Debianの場合（7.1でテスト済み）編集/etc/pam.d/common-auth（明確にするためにコメントは省略）

今後

auth    [success=1 default=ignore]    pam_unix.so nullok_secure
auth    requisite                     pam_deny.so
auth    required                      pam_permit.so

後ろに

auth    [success=2 default=ignore]    pam_unix.so nullok_secure
auth    optional                      pam_exec.so /common-auth-pam_exec
auth    requisite                     pam_deny.so
auth    required                      pam_permit.so

実際に起こるのは、成功するpam_unix.soと次の2つのモジュールをスキップし、常にpam_permit.so成功したモジュールにジャンプすることです。認証に失敗した場合は、PAMまずスクリプトを実行してから実行してください。このモジュールは常に失敗し、制御フラグをpam_deny設定するため、他のモジュールは実行されません。requisite

完全性のために、プログラムはpam_exec呼び出しプロセスの実際のユーザーIDで実行することによって生成されます（setuidオプションは有効なユーザーIDで実行されます）、プロセス環境は次のとおりです。

PAM_SERVICE=login
PAM_RHOST=
PAM_USER=<username_here>
PAM_TYPE=auth
PAM_TTY=/dev/tty1

pam：ログイン時の作業（失敗）

ベストアンサー1

おすすめ記事