shellinabox, google-authenticator, pam und screen
Hi!
Ich habe gerade ein recht obskures Problem... Vermutlich fehlt mir ein
Broeckchen pam und es ist geloest.
Hintergrund: Ich muss ohne ssh Zugriff auf einem bestimmten Rechner eine
shell oeffnen koennen. Die einfachste Loesung hierzu ist wohl
shellinabox. Das funktioniert an sich auch gut.
Um das ganze etwas besser abzusichern, habe ich wie ihn
https://github.com/shellinabox/shellinabox/issues/187 beschrieben,
google-authenticator als pam Modul eingebunden. google-authenticator
selbst funktioniert auch (und sicher bei dem Rechner Beispielsweise auch
regulaeren ssh login und sudo).
Ich habe also eine /etc/pam.d/shellinabox erstellt, die folgendes
enthaelt:
@include sshd
auth required pam_google_authenticator.so
auth required pam_listfile.so onerr=fail item=user sense=allow file=/etc/shellinaboxusers
Und wie empfohlen das Init-Script ergaenzt:
* line 42 added SHELLINABOX_SERVICE="${SHELLINABOX_SERVICE:-/:AUTH:HOME:/bin/bash}"
* line 55 added -s "'${SHELLINABOX_SERVICE}'"
Das funktioniert im Prinzip: Beim einloggen via shellinabox wird man
auch nach dem verification code gefragt.
Aber versuche ich nach dem einloggen screen aufzurufen (egal ob neu,
oder reconnect auf eine existierende session) erhalte ich folgene
Meldung:
Cannot open your terminal '/dev/pts/7' - please check.
Und in der Tat:
$ ll /dev/pts/7
crw--w---- 1 shellinabox tty 136, 7 Jun 2 15:09 /dev/pts/7
Mache ich alle meine Aenderungen Rueckgaengig gehoert das Device nach
dem einlogen meinem user. Aendere ich den Besitzer manuell, funktioniert
screen auch wie erwartet. Recherche im Netz bringt lediglich den Tipp,
'script /dev/null' aufzurufen, bevor man screen aufruf. Oder diverse
Tipps, wie man teamspeak und aehnliches 'richtig' aufrufen wuerde.
Eventuell fehlt mir in meiner shellinabox Pam einfach nur eine 'setze
die Rechte richtig' Zeile... aber irgendwie habe ich gerade Tomaten auf
den Augen.
Jemand einen guten Tipp fuer mich?
Mit besten Gruessen,
Alexander
Reply to: