条件付き入力には pam_exec.so を使用します。

Question 1

これは私に合ったソリューションです。私のもの/etc/pam.d/sudo：

#%PAM-1.0
auth            [success=1]     pam_exec.so    /tmp/test-pam
auth            required        pam_deny.so
auth            include         system-auth
account         include         system-auth
session         include         system-auth

そして/tmp/test-pam：

#! /bin/bash
/bin/last -i -p now ${PAM_TTY#/dev/} | \
    /bin/awk 'NR==1 { if ($3 != "0.0.0.0") exit 9; exit 0; }'

私は次のような行動をとります。

$ sudo date
[sudo] password for jdoe:
Thu Jun 28 23:51:58 MDT 2018
$ ssh localhost
Last login: Thu Jun 28 23:40:23 2018 from ::1
valli$ sudo date
/tmp/test-pam failed: exit code 9
[sudo] password for jdoe:
sudo: PAM authentication error: System error
valli$

最初の行はデフォルトのpam.d/sudo呼び出しに追加されpam_exec、成功すると次の項目はスキップされます。 2行目は単にアクセスを無条件に拒否します。

/tmp/test-pamマイコールからlast電話TTY pamに関連付けられているIPアドレスを取得します。${PAM_TTY#/dev/}デバイス全体のパスが認識されないため、値の前半から削除されました。このフラグを使用すると、IPアドレスまたはプレースホルダが表示されます（IPアドレスがない場合）。デフォルトでは、チェックするのが難しい情報文字列が表示されます。これが私が代わりに同様のオプションを使用しない理由でもあります。このオプションはチェックしている出力の最初の行だけを見ることができるため、必ずしも必要ではありませんが、現在ログインしているユーザーのみを表示するように制限されています。/dev/last-ilast0.0.0.0lastwhow-p nowawklast

このコマンドは最初の行だけをチェックし、awk3番目のフィールドではない場合は0.0.0.0エラーで終了します。これがの最後のコマンドなので、/tmp/test-pamawkの終了コードがスクリプトの終了コードになります。

あなたが試したテストのどれも私のシステムで動作しませんでしたdeny-ssh-user.sh。これをenv > /tmp/test-pam.logスクリプトの上に置くと、環境が削除され、SSH_FOO変数が設定されていないことがわかります。 $ PPIDは複数のプロセスを指すことがあります。たとえば、実行してperl -e 'system("sudo cat /etc/passwd")'$ PPIDがプロセスを参照している場所を確認しますperl。

4.16.11-1-ARCHカーネルであるArch Linux（Arch Linux）があります。しかし、私はそうする必要はないと思います。

Answer

これは私に合ったソリューションです。私のもの/etc/pam.d/sudo：

#%PAM-1.0
auth            [success=1]     pam_exec.so    /tmp/test-pam
auth            required        pam_deny.so
auth            include         system-auth
account         include         system-auth
session         include         system-auth

そして/tmp/test-pam：

#! /bin/bash
/bin/last -i -p now ${PAM_TTY#/dev/} | \
    /bin/awk 'NR==1 { if ($3 != "0.0.0.0") exit 9; exit 0; }'

私は次のような行動をとります。

$ sudo date
[sudo] password for jdoe:
Thu Jun 28 23:51:58 MDT 2018
$ ssh localhost
Last login: Thu Jun 28 23:40:23 2018 from ::1
valli$ sudo date
/tmp/test-pam failed: exit code 9
[sudo] password for jdoe:
sudo: PAM authentication error: System error
valli$

最初の行はデフォルトのpam.d/sudo呼び出しに追加されpam_exec、成功すると次の項目はスキップされます。 2行目は単にアクセスを無条件に拒否します。

/tmp/test-pamマイコールからlast電話TTY pamに関連付けられているIPアドレスを取得します。${PAM_TTY#/dev/}デバイス全体のパスが認識されないため、値の前半から削除されました。このフラグを使用すると、IPアドレスまたはプレースホルダが表示されます（IPアドレスがない場合）。デフォルトでは、チェックするのが難しい情報文字列が表示されます。これが私が代わりに同様のオプションを使用しない理由でもあります。このオプションはチェックしている出力の最初の行だけを見ることができるため、必ずしも必要ではありませんが、現在ログインしているユーザーのみを表示するように制限されています。/dev/last-ilast0.0.0.0lastwhow-p nowawklast

このコマンドは最初の行だけをチェックし、awk3番目のフィールドではない場合は0.0.0.0エラーで終了します。これがの最後のコマンドなので、/tmp/test-pamawkの終了コードがスクリプトの終了コードになります。

あなたが試したテストのどれも私のシステムで動作しませんでしたdeny-ssh-user.sh。これをenv > /tmp/test-pam.logスクリプトの上に置くと、環境が削除され、SSH_FOO変数が設定されていないことがわかります。 $ PPIDは複数のプロセスを指すことがあります。たとえば、実行してperl -e 'system("sudo cat /etc/passwd")'$ PPIDがプロセスを参照している場所を確認しますperl。

4.16.11-1-ARCHカーネルであるArch Linux（Arch Linux）があります。しかし、私はそうする必要はないと思います。

Question 2

実際、私は愚かで、このpam_exec.soモジュールはPAM条件を生成するのに役立つことがわかりました。

Tim Smithの評価は正確です。/etc/security/deny-ssh-user.sh私のスクリプトの2つのテストでは、変数はSSH_SESSIONtrueに設定されていません。スクリプトは通常のシェルで動作しますがpam_exec.so。

結局のところ、彼の例のようにユーティリティを使用するためにスクリプトを書き直すことになりましたlast。last

以下は/etc/security/deny-ssh-user.shで修正されたスクリプトです。

#!/bin/bash
# Returns 1 if the user is logged in through SSH
# Returns 0 if the user is not logged in through SSH
SSH_SESSION=false

function isSshSession {
    local terminal="${1}"
    if $(/usr/bin/last -i | 
        /usr/bin/grep "${terminal}" |
        /usr/bin/grep 'still logged in' |
        /usr/bin/awk '{print $3}' |
        /usr/bin/grep -q --invert-match '0\.0\.0\.0'); then
        echo true
    else
        echo false
    fi
}

function stripTerminal {
    local terminal="${1}"

    # PAM_TTY is in the form /dev/pts/X
    # Last utility displays TTY in the form pts/x
    # Returns the first five characters stripped from TTY
    echo "${terminal:5}"
}

lastTerminal=$( stripTerminal "${PAM_TTY}")
SSH_SESSION=$(isSshSession "${lastTerminal}")

if "${SSH_SESSION}"; then
    exit 1
else
    exit 0
fi

/etc/pam.d/sudoの内容

....
auth    [success=ok default=1]    pam_exec.so /etc/security/deny-ssh-user.sh
auth    sufficient    pam_module_to_skip.so
....

Answer

実際、私は愚かで、このpam_exec.soモジュールはPAM条件を生成するのに役立つことがわかりました。

Tim Smithの評価は正確です。/etc/security/deny-ssh-user.sh私のスクリプトの2つのテストでは、変数はSSH_SESSIONtrueに設定されていません。スクリプトは通常のシェルで動作しますがpam_exec.so。

結局のところ、彼の例のようにユーティリティを使用するためにスクリプトを書き直すことになりましたlast。last

以下は/etc/security/deny-ssh-user.shで修正されたスクリプトです。

#!/bin/bash
# Returns 1 if the user is logged in through SSH
# Returns 0 if the user is not logged in through SSH
SSH_SESSION=false

function isSshSession {
    local terminal="${1}"
    if $(/usr/bin/last -i | 
        /usr/bin/grep "${terminal}" |
        /usr/bin/grep 'still logged in' |
        /usr/bin/awk '{print $3}' |
        /usr/bin/grep -q --invert-match '0\.0\.0\.0'); then
        echo true
    else
        echo false
    fi
}

function stripTerminal {
    local terminal="${1}"

    # PAM_TTY is in the form /dev/pts/X
    # Last utility displays TTY in the form pts/x
    # Returns the first five characters stripped from TTY
    echo "${terminal:5}"
}

lastTerminal=$( stripTerminal "${PAM_TTY}")
SSH_SESSION=$(isSshSession "${lastTerminal}")

if "${SSH_SESSION}"; then
    exit 1
else
    exit 0
fi

/etc/pam.d/sudoの内容

....
auth    [success=ok default=1]    pam_exec.so /etc/security/deny-ssh-user.sh
auth    sufficient    pam_module_to_skip.so
....

条件付き入力には pam_exec.so を使用します。

条件付き入力には pam_exec.so を使用します。

条件付き入力に pam_access.so を使用

答え1

答え2

以下は/etc/security/deny-ssh-user.shで修正されたスクリプトです。

/etc/pam.d/sudoの内容

関連情報