1. Trang chủ
  2. Câu hỏi và trả lời
  3. Vấn đề phân bổ PAM PAM SSH có thể

Vấn đề phân bổ PAM PAM SSH có thể

2013-04-18 39 views
6

Tôi có một máy chủ linux ubuntu được lưu trữ trên Amazon EC2. Có khoảng 3000 người dùng linux được tạo trên hệ thống với userid là user_1, user_2 &, v.v.Vấn đề phân bổ PAM PAM SSH có thể

Đáng ngạc nhiên người dùng cho đến khi user_2685 có thể đăng nhập qua ssh tới máy chủ. Không vượt quá điều đó.

Tôi đã thay đổi LogLevel thành DEBUG3 trong/etc/ssh/sshd_config. Đang dán nội dung có liên quan.

  1. bãi liên quan khi người dùng không đăng nhập - http://pastebin.com/NS2jC8vg
 
Apr 18 10:18:00 domU-12-31-39-01-86-0C sshd[18879]: debug1: Allocating pty. 
Apr 18 10:18:00 domU-12-31-39-01-86-0C sshd[18879]: debug3: mm_request_send entering: type 26 
Apr 18 10:18:00 domU-12-31-39-01-86-0C sshd[18879]: debug3: mm_pty_allocate: waiting for MONITOR_ANS_PTY 
Apr 18 10:18:00 domU-12-31-39-01-86-0C sshd[18879]: debug3: mm_request_receive_expect entering: type 27 
Apr 18 10:18:00 domU-12-31-39-01-86-0C sshd[18879]: debug3: mm_request_receive entering 
Apr 18 10:18:00 domU-12-31-39-01-86-0C sshd[18802]: debug3: mm_request_receive entering 
Apr 18 10:18:00 domU-12-31-39-01-86-0C sshd[18802]: debug3: monitor_read: checking request 26 
Apr 18 10:18:00 domU-12-31-39-01-86-0C sshd[18802]: debug3: mm_answer_pty entering 
Apr 18 10:18:00 domU-12-31-39-01-86-0C sshd[18802]: debug2: session_new: allocate (allocated 0 max 10) 
Apr 18 10:18:00 domU-12-31-39-01-86-0C sshd[18802]: debug3: session_unused: session id 0 unused 
Apr 18 10:18:00 domU-12-31-39-01-86-0C sshd[18802]: debug1: session_new: session 0 
Apr 18 10:18:00 domU-12-31-39-01-86-0C sshd[18802]: debug1: SELinux support disabled 
Apr 18 10:18:00 domU-12-31-39-01-86-0C sshd[18879]: debug1: do_cleanup 
Apr 18 10:18:00 domU-12-31-39-01-86-0C sshd[18879]: debug3: PAM: sshpam_thread_cleanup entering
  1. bãi liên quan khi người dùng đăng nhập thành công - http://pastebin.com/vUXnpDsr
 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18957]: debug1: Allocating pty. 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18957]: debug3: mm_request_send entering: type 26 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18957]: debug3: mm_pty_allocate: waiting for MONITOR_ANS_PTY 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18957]: debug3: mm_request_receive_expect entering: type 27 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18957]: debug3: mm_request_receive entering 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18880]: debug3: mm_request_receive entering 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18880]: debug3: monitor_read: checking request 26 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18880]: debug3: mm_answer_pty entering 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18880]: debug2: session_new: allocate (allocated 0 max 10) 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18880]: debug3: session_unused: session id 0 unused 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18880]: debug1: session_new: session 0 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18880]: debug1: SELinux support disabled 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18880]: debug3: mm_request_send entering: type 27 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18880]: debug3: mm_answer_pty: tty /dev/pts/37 ptyfd 4 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18957]: debug1: session_pty_req: session 0 alloc /dev/pts/37 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18957]: debug1: Ignoring unsupported tty mode opcode 11 (0xb) 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18957]: debug1: Ignoring unsupported tty mode opcode 17 (0x11) 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18957]: debug1: server_input_channel_req: channel 0 request shell reply 1 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18957]: debug1: session_by_channel: session 0 channel 0 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18957]: debug1: session_input_channel_req: session 0 req shell 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18957]: debug2: fd 3 setting TCP_NODELAY 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18957]: debug2: channel 0: rfd 9 isatty 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18957]: debug2: fd 9 setting O_NONBLOCK 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18957]: debug3: fd 7 is O_NONBLOCK 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18958]: debug1: Setting controlling tty using TIOCSCTTY. 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18958]: debug3: Copy environment: PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games 
Apr 18 10:20:07 domU-12-31-39-01-86-0C sshd[18958]: debug3: Copy environment: LANG=en_US.UTF-8 
Apr 18 10:20:07 domU-12-31-39-01-86-0C jk_chrootsh[18958]: now entering jail /opt/users-rails-apps for user user_1 (1001) with arguments

Cập nhật 1:

Các bãi chứa trên là từ /var/log/auth.log trên máy chủ. Dưới đây là các bãi chứa trên máy khách. Chỉ cần đặt các phần liên quan của dump đó khác

thành công đăng nhập

 
debug2: channel 0: request shell confirm 1 
debug2: callback done 
debug2: channel 0: open confirm rwindow 0 rmax 32768 
debug2: channel_input_status_confirm: type 99 id 0 
debug2: PTY allocation request accepted on channel 0 
debug2: channel 0: rcvd adjust 2097152 
debug2: channel_input_status_confirm: type 99 id 0 
debug2: shell request accepted on channel 0

đăng nhập không thành công

 
debug2: channel 0: request shell confirm 1 
debug2: callback done 
debug2: channel 0: open confirm rwindow 0 rmax 32768 
debug1: channel 0: free: client-session, nchannels 1 
debug3: channel 0: status: The following connections are open: 
    #0 client-session (t4 r0 i0/0 o0/0 fd 4/5 cc -1) 

Connection to www.codelearn.org closed by remote host. 
Connection to www.codelearn.org closed. 
Transferred: sent 2488, received 1472 bytes, in 0.8 seconds 
Bytes per second: sent 3043.4, received 1800.6 
debug1: Exit status -1

Hệ điều hành: Ubuntu chính xác 12.04

OpenSSH server: OpenSSH_5.9p1 Debian-5ubuntu1.1, OpenSSL 1.0.1 14 Mar 2012

SSH khách hàng: không quan trọng như tôi có đã cố gắng từ ubuntu cũng như hành vi Mac & là như nhau.

Cập nhật 2:

Btw - đây không phải là một vấn đề với PAM như như tôi có thể làm su user_3000 & người dùng đăng mới trong & được một PTY quá.

Cũng làm ssh mà không yêu cầu PTY ssh -T [email protected] ghi nhật ký người dùng. Nhưng nó dừng đăng nhập & không có lời nhắc nào xuất hiện. Có lẽ đó là bởi vì không có lời nhắc được yêu cầu cho ở nơi đầu tiên.

Nguồn

2013-04-18 Pocha

+0

Có một chuỗi chỉ ra rằng thủ phạm thực tế có thể liên quan đến mô-đun PAM. http://ubuntuforums.org/archive/index.php/t-1448030.html HTH. –

Trả lời

0

Vì vậy, hóa ra đây là một vấn đề với /etc/security/limits.conf cho người sử dụng.

Tôi đoán rằng PAM cố xác thực bằng cách xem tệp/etc/passwd là người dùng. Các giới hạn có một trường fsize được đặt thành 1000. Nếu người dùng xuất hiện trước đó trong/etc/passwd - PAM sẽ có thể tìm thấy & xác thực. Nếu sau này anh ta xuất hiện, giới hạn kích thước fsize có thể đã đạt đến số & số lần PAM thoát.

Thay đổi fsize từ 1000 đến 2000 đã khắc phục được sự cố.

Nguồn

2013-04-19 12:08:00 Pocha

0

Bạn đã kiểm tra sshd_config để đảm bảo không xảy ra sự cố tối đa?

Lookout cho ClientAliveCountMax MaxSessions MaxStartups

Cụ MaxSessions kể từ thông điệp đăng nhập không thành công của bạn sẽ liệt kê một loạt các kết nối mở như lý do. Tăng số lượng và kiểm tra hành vi.

Bạn có thể đọc ở đây hơn - http://www.manpagez.com/man/5/sshd_config/

Nguồn

2013-04-19 10:36:22

+0

Tìm kiếm 'Max' chỉ có một mục' #MaxStartups 10: 30: 60'. Ngoài ra tôi không nghĩ rằng nó là MaxSessions bởi vì những người dùng có thể đăng nhập, thực sự có thể đăng nhập nhiều lần cùng một lúc. Trong khi những người dùng không thể đăng nhập, không bao giờ có thể đăng nhập. – Pocha

+0

Bạn có thể thử ssh mình & xem. Thông tin chi tiết về một số tài khoản người dùng cho ssh có tại http://hackerstreet.in/item?id=26459 – Pocha

Các vấn đề liên quan

 Các vấn đề liên quan