Proftpd不听PAM的话，怎么办？

晨想

想用PAM认证，但是总是失败。Proftpd默认是使用PAM认证的，我也知道。不过。。。

请看配置：

PAM配置：（ftp这个文件，也软连接为proftpd）
# Begin /etc/pam.d/ftp

#auth           requisite       pam_nologin.so
#auth           required        pam_unix.so
#auth            required        pam_require.so @ftpusers
auth            required        pam_deny.so

#account        required        pam_access.so
#account requisite       pam_require.so  @ftpusers
account         required        pam_deny.so

#session        required        pam_limits.so
#session         required        pam_require.so @ftpusers
#session        required        pam_unix.so
session         required        pam_deny.so

# End /etc/pam.d/ftp


Proftpd的配置：
RequireValidShell on
RootLogin off
AuthPAMAuthoritative on（开的话，就说是Deprecated）。
AuthPAMConfig ftp

auth.log：
Dec 23 00:07:23 Fantasy proftpd[19326]: Fantasy.CJW.com (Fantasy.CJW.com[192.168.0.1]) - USER William: Login successful.

现在的问题是：登录的时候，如果正确输入Unix用户名和密码的话，也可以登录系统。根本不管PAM的deny。
不知道大家有什么建议。谢谢。

晨想

突然无意查看了 daemon.log，发现：

Dec 23 00:52:12 Fantasy proftpd[19809]: Fantasy.CJW.com (Fantasy.CJW.com[192.168.0.1]) - FTP session opened.
Dec 23 00:52:14 Fantasy proftpd[19809]: Fantasy.CJW.com (Fantasy.CJW.com[192.168.0.1]) - PAM(William): Authentication failure.
Dec 23 00:52:14 Fantasy proftpd[19809]: Fantasy.CJW.com (Fantasy.CJW.com[192.168.0.1]) - mod_cap/1.0: cap_set_proc failed: Operation not permitted
Dec 23 00:52:14 Fantasy proftpd[19809]: Fantasy.CJW.com (Fantasy.CJW.com[192.168.0.1]) - mod_cap/1.0: attempt to configure capabilities failed, reverting to normal operation
Dec 23 00:52:15 Fantasy proftpd[19809]: Fantasy.CJW.com (Fantasy.CJW.com[192.168.0.1]) - FTP session closed.


实际上是认证失败了，为什么该死的proftpd还允许登录？

晨想

up一下。嘿嘿。大家想想

attiseve

是不是在编译时需要加入：
--enable-auth-pam       enable PAM support
参数？

晨想

--enable-auth-pam       enable PAM support (default=yes)

attiseve

直接给答案，斑竹！

晨想

给什么答案，，我还在找答案呢。。。。这个不是考题。。晕。。。

gugong

2004年12月27日星期一下午21时26分21秒[root@mail root]# cat /etc/pam.d/ftp
#%PAM-1.0
auth       required     /lib/security/pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
auth       required     /lib/security/pam_pwdb.so shadow nullok

# If this is enabled, anonymous logins will fail because the 'ftp' user does
# not have a "valid" shell, as listed in /etc/shells.
#
# If you enable this, it is recommended that you do *not* give the 'ftp'
# user a real shell. Instead, give the 'ftp' user /bin/false for a shell and
# add /bin/false to /etc/shells.
#auth       required    /lib/security/pam_shells.so

account    required     /lib/security/pam_pwdb.so
session    required     /lib/security/pam_pwdb.so

faint

原来是古公兄。。。。。。

gugong

Post by attiseve
是不是在编译时需要加入：
--enable-auth-pam       enable PAM support
参数？

The mod_auth_pam module is automatically included when proftpd is built on a system that supports PAM. To disable this automatic
inclusion, use the --disable-auth-pam configure option.