我已经配置了一台服务器以支持 OTP(使用 opie)和 ssh。让我恼火的是,即使是 root 用户在执行 sudo 时也会收到 OTP 密码提示。我该如何配置 PAM 来抑制它?我觉得不需要 OTP本地。
系统是 Debian 稳定版(lenny),安装了少量不稳定/向后移植版本(与 PAM 没有任何连接)。
答案1
我不确定这是否是“Debian 的方式”,但是:
您应该有一个/etc/pam.d/sudo文件,其中指定了 sudo 将使用哪些 PAM 模块进行身份验证(和其他内容)——找到您的一次性密码魔法模块并将其注释掉。您要查找的行可能类似于:
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
在 Debian 系统上,许多 PAM 配置引用common-*文件 - 如果是这种情况,请复制这些文件的内容来代替指令include。
明智的建议:在开始编辑之前,启动 screen 并在其中以 root 身份进行 su,这样您就有了一个 root shell 来在需要时修复问题;另外显然要备份原始文件,以便在需要时可以将其恢复。