[plamo:18400] Re: Plamo Linux を PAM対応させてみました。

[KAMOSAWA, Masao]

鴨澤です。

> その時のメモを、
> 
> http://www.netfort.gr.jp/~tosihisa/plamo/wiki.cgi?Plamo_meets_PAM
> 
> に置いていますので、興味のある方は御覧頂けたら...と思います。

おお、すんばらしい。

えーと、ぼくなんぞが言うのもなんだけど、基本的に穴は無いと思います。

気づいたこととして

・shadow ですが、ぼくはいまさら shadow20000902 でもないよなあ、
  と shadow-4.0.3 を入れました。普通に動いてます。

・pam.conf の記述ですが、other が全部拒否、というのはどうでしょうか。
  Linux-PAM に入ってる pam.conf をそのまま使うのは確かにかなり安全です
が、
  other は認証を必要とするプログラム全部のデフォルトになるので、
  いろいろ入れて遊んでるときに不具合の切り分けがやりにくそう。

  ぼくは:

OTHER   auth    sufficient      pam_rootok.so
OTHER   auth     required       pam_unix.so
OTHER   account  required       pam_unix.so
OTHER   password required       pam_unix.so
OTHER   session  required       pam_unix.so

  として、これを pam.conf の一番下に書いてあります。
  ごく一般的な認証を要求してやるわけです。
  上のやつ全部にひっかからなかったモノはここに落ちるという気分です。


・この other がごく一般的な認証を要求することを利用して、
  ぼくは pam.conf の行数を圧縮しています。

-----
login   auth    required        pam_securetty.so
login   auth    required        pam_unix.so

su      auth    sufficient      pam_rootok.so
su      auth    required        pam_unix_auth.so

rlogin  auth    required        pam_rhosts_auth.so
rlogin  auth    required        pam_unix.so
rlogin  auth    required        pam_warn.so

rsh     auth    required        pam_rhosts_auth.so
rsh     auth    required        pam_unix.so
rsh     auth    required        pam_warn.so

passwd  auth    required        pam_unix.so use_authtok nullok md5

OTHER   auth    sufficient      pam_rootok.so
OTHER   auth     required       pam_unix.so
OTHER   account  required       pam_unix.so
OTHER   password required       pam_unix.so
OTHER   session  required       pam_unix.so
-----

  これだけ。
  こういうやり方もあるのでご検討を。

こんなところかな。

---
shadow 4.0.3 はパッケージを作ってみました（いま）。

http://plamo.minidns.net/shadow-4.0.3_PAM-enabled.tgz

としさんのページを見るまで makepkg の使い方を知りませんでした。
slackware を何年使ってるんでしょうか。
checkinstall も楽だけど、これもまたよしですわね。