38655 2020-06-30 12:12:29 +0300 Не блокируется tty в /etc/security/access.conf 2020-07-03 18:57:03 +0300 1 1 4 Development Sisyphus login unstable x86_64 Linux CLOSED FIXED P5 major --- 38056 1 underwit placeholder glebfm ldv lepata mcpain placeholder rider underwit vt zerg qa-sisyphus oldest_to_newest 190834 0 underwit 2020-06-30 12:12:29 +0300 Подключил модуль pam_access добавил в /etc/pam.d/common-login account required pam_access.so В /etc/security/access.conf добавляю правило -:username:tty4 Попытка входа на tty4 для username проходит успешно. Например если поменять правило на -:username:localhost вход блокируется, т.е. неработают правила только для tty. Аналогично и в P9 На сторонних дистрибутивах ubuntu, fedora при аналогичных действия всё отрабатывает нормально. 190835 1 ldv 2020-06-30 12:26:05 +0300 (In reply to underwit from comment #0) > Попытка входа на tty4 для username проходит успешно. Чем осуществляется попытка входа? 190836 2 underwit 2020-06-30 12:31:54 +0300 (Ответ для Dmitry V. Levin на комментарий #1) > Чем осуществляется попытка входа? ctrl+alt+f4 или chvt 4 190838 3 rider 2020-06-30 12:56:02 +0300 навернякак systemd-logind. 190839 4 ldv 2020-06-30 13:00:42 +0300 (In reply to Anton Farygin from comment #3) > навернякак systemd-logind. Тогда попробуйте выяснить, выставляет ли он PAM_TTY, и если да, то в какое значение. 190840 5 rider 2020-06-30 13:05:59 +0300 agetty, а не systemd-logind. А как выяснить ? Вижу процессы: /sbin/agetty -o -p -- \u --noclear tty5 linux 190841 6 ldv 2020-06-30 13:16:32 +0300 (In reply to Anton Farygin from comment #5) > agetty, а не systemd-logind. А как выяснить ? agetty всё-таки не осуществляет login. Выяснить просто: залогиниться и посмотреть в лог. > Вижу процессы: > /sbin/agetty -o -p -- \u --noclear tty5 linux Ещё можно chvt 5, дождаться приглашения, и посмотреть ps ещё раз. 190844 7 rider 2020-06-30 14:46:58 +0300 audit пишет что запускается /bin/login, в моём случае это login-0.60-alt35.x86_64 190869 8 zerg 2020-07-02 10:29:38 +0300 *** Bug 38056 has been marked as a duplicate of this bug. *** 190904 9 mcpain 2020-07-03 16:04:12 +0300 В SimplePAMApps: pamapps/login/login.c:118 Для login_remote_host устанавливается значение по умолчанию - "localhost", которое модифицируется в parse_args() только при передаче в качестве аргумента имени хоста. В противном случае эта строка остается без изменений и устанавливается в PAM_RHOST. В linux-pam: modules/pam_access/pam_access.c:846 идёт получение через pam_get_item сожержимого PAM_RHOST, а в строке 853 идет проверка на то, что это содержимое либо нулевой указатель, либо пустая строка. А у нас там "localhost" -> условие не выполняется, проверки на tty нет и, следовательно, программа разрешает вход из-под tty. 190905 10 ldv 2020-07-03 16:14:29 +0300 Так было с 2001 года. Я уберу PAM_RUSER и PAM_RHOST, это починит pam_access, а вы попробуйте выяснить, как это повлияет на весь остальной софт. 190907 11 mcpain 2020-07-03 16:29:26 +0300 (Ответ для Dmitry V. Levin на комментарий #10) > Так было с 2001 года. Я уберу PAM_RUSER и PAM_RHOST, это починит > pam_access, а вы попробуйте выяснить, как это повлияет на весь остальной > софт. Как минимум повлияет на то, что при указании правила "-:USER:localhost" вход через tty будет разрешён, а я так понял, что его необходимо запрещать. 190909 12 zerg 2020-07-03 16:54:08 +0300 Предлагаю "localhost" починить позже, а то прям горит. 190910 13 mcpain 2020-07-03 17:24:58 +0300 (Ответ для Sergey V Turchin на комментарий #12) > Предлагаю "localhost" починить позже, а то прям горит. Ссылка на огнетушитель: http://git.altlinux.org/tasks/254422/ 190911 14 underwit 2020-07-03 17:26:00 +0300 Проверил в fedora Если указать localhost то он не блокируется. 190912 15 ldv 2020-07-03 17:33:31 +0300 Не надо проверять pam_access в Федоре, в этом нет смысла. Проверьте, пожалуйста, как наш софт отреагирует на отсутствие PAM_RUSER и PAM_RHOST. 190913 16 mcpain 2020-07-03 17:36:01 +0300 (Ответ для Dmitry V. Levin на комментарий #15) > Проверьте, пожалуйста, как наш софт отреагирует на отсутствие PAM_RUSER и > PAM_RHOST. "наш" - это какой? Где взять версию, где PAM_RUSER и PAM_RHOST отсутствуют? 190914 17 ldv 2020-07-03 17:48:04 +0300 (In reply to Олег Соловьев from comment #16) > (Ответ для Dmitry V. Levin на комментарий #15) > > Проверьте, пожалуйста, как наш софт отреагирует на отсутствие PAM_RUSER и > > PAM_RHOST. > > "наш" - это какой? Хотя бы тот, который входит в наши дистрибутивы. Могут быть побочные эффекты. > Где взять версию, где PAM_RUSER и PAM_RHOST отсутствуют? #254330 190915 18 mcpain 2020-07-03 18:15:16 +0300 Вход локальным пользователем под sddm работает. Вход локальным пользователем с tty работает. 190917 19 repository-robot 2020-07-03 18:57:03 +0300 SimplePAMApps-0.60-alt36 -> sisyphus: Fri Jul 03 2020 Dmitry V. Levin <ldv@altlinux> 0.60-alt36 - login: do not set PAM_RUSER and PAM_RHOST unnecessarily (closes: #38655).