wiki/pam_usb

[avi9526]

Написал такую статейку
/wiki/pam_usb
Просьба знающим — проверить, поскольку с этим вопросом знаком 3 дня и могу неправильно понимать некоторые моменты, кроме того был сонный, мог напортачить.

[ZwS]

Годная статья.
Сделал в ней пару правок, в основном связанных с форматированием.
Кстати, так и не понял, к чему там надпись

Не имеется достаточно информации по безопасности данного метода аутентификации

[avi9526]

Кстати, так и не понял, к чему там надпись

читал в инете спрашивали (годы 2007-2009) насколько безопасно, и ответы были типа «не очень», эти временные ключи которые на флешку сохраняются (pads) мол слишком простые и вообще мало информации об уязвимостях, подозрительно…

[avi9526]

Возникают проблемы иногда. Я так понял, что pam_usb монтирует диск по своему (командой pmount) и получается конфликт с обычным mount (повторно не хочет монтировать) и отпадает или то, или другое…
Пока не разобрался что к чему, лень. Если кто-то может прояснить ситуацию — было-бы здорово.

[yppuwygu-7449]

Есть ли возможность организовать аварийный вход, если например USB ключ потерян или поврежден?

[avi9526]

Есть ли возможность организовать аварийный вход, если например USB ключ потерян или поврежден?

Если настроек не менять, то для аутентификации нужен USB-ключ или пароль. Так что если диск утерян/повреждён, то требуется ввести пароль как обычно…

[getauft]

Приветствую! Столкнулся с проблемой, что автоматической разблокировки в Ubuntu 14.04 64bit не происходит после того как флешка вставлена обратно в порт.

pamusb.conf

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

<?xml version="1.0" ?>
<configuration>
<defaults></defaults>
<devices>
<device id="SanDisk8Gb">
<vendor>SanDisk</vendor>
<model>Cruzer Fit</model>
<serial>4C530005870216108550</serial>
<volume_uuid>765D-B21D</volume_uuid>
</device>
</devices>
<users>
<user id="getauft">
<device>SanDisk8Gb</device>
<agent event="lock">gnome-screensaver-command --lock</agent>
<agent event="unlock">gnome-screensaver-command --deactivate</agent>
</user>
</users>
<services></services>
</configuration>

common-auth

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

#
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.).  The default is to use the
# traditional Unix authentication mechanisms.
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
auth sufficient      pam_usb.so
auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
# here's the fallback if no module succeeds
auth requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth required pam_permit.so
# auth  required        pam_unix.so nullok_secure
# and here are more per-package modules (the "Additional" block)
auth optional pam_cap.so
# end of pam-auth-update config

Друзья, подскажите куда копать дальше. Спасибо заранее за помощь!

[avi9526]

По-моему, уже давно что-то намутили с блокировкой.

Попробуй в консоли

Код: [Выделить]

gnome-screensaver-command --lock; sleep 5; gnome-screensaver-command --deactivate
должно заблокироваться, а потом через 5 сек разблокироваться…

[getauft]

Как бы очевидны команды не были, но нет, разблокировки не произошло.

З.Ы. - попробовал от рута заблокировать и по таймауту разблокировать - прошло все успешно, но только логин скрин выглядел совершенно не так, как от обычного пользователя...

[avi9526]

Значит таки чтото перелопатили, придется гуглить…

[dr.abros]

После того как флешку вставляю обратно в порт разблокировка не происходит, а если клацнуть смена пользователя то оттуда все получается в чем может быть беда ?