最近把玩 Dropbear 當 SSH Server 方案,碰到想要用 PAM 的情境,試玩結果尚可,但是會碰到白名單的問題。
簡單的說,原先 PAM 就只處理帳號認證而已,應用服務常常會需要有白名單才能進行,例如 Mail Server 收信要白名單,非白名單的信件會丟掉,而在 Dropbear SSHD 方案上,則需要白名單來決定使用者登入後的 HOME、SHELL、UID、GID 等資訊,所以就手養改一下 dropbear ,讓它跑在 server mode 下,可以用一個參數來處理 nonexistent user,如 -c "root" 為例,代表使用 PAM 登入過程中,若該帳號不存在,則改用 root 權限代替。
完整的 patch 擺在 dropbear-2013.58-pam-nonexistent-user-handle.patch ,也順手丟去 maillist 問看看作者意思,除了變數名稱亂取外,程式邏輯應該算還ok吧? :P 看看會不會收到回音囉。
沒有留言:
張貼留言