为什么需要通过docker将pam_loginuid设置为其可选值?
为了运行ssh守护程序服务,pam_loginuid必须在/etc/pam.d/sshd中将entry设置为可选,如Ubuntu 13.10
的官方示例中所述。
此项对于Ubuntu的早期版本是否可选?它甚至在Ubuntu 13.10之前存在吗?
什么是设置pam_loginuid到optional的意思是,无论如何?
我的ssh配置在这方面的安全性要差得多吗?
回答:
pam_loginuid用于loginuid在用户通过SSH,X或类似方式登录时设置进程的审核属性。然后,审核框架可以将此属性用于各种目的。
但是,设置此审核属性需要启用某些与审核相关的功能;例如,默认情况下,Docker将其丢弃,因此audit_setloginuid调用将失败。
当PAM模块配置为时required,此类故障是致命的(并且PAM阻止了登录继续);而optional意思是“继续前进”。
我可能是错的,但是我相信虽然pam_loginuid在以前的版本中可用(我在12.04中进行了测试),但是无论如何都没有启用它。因此这就是13.10及更高版本要求此特殊设置的原因。
以上是 为什么需要通过docker将pam_loginuid设置为其可选值? 的全部内容, 来源链接: utcz.com/qa/407227.html
