Как мне написать тест для входа в систему?

Я написал Python CGI-скрипт, который вызывает bashкоманды, и он должен проверить успешность входа на хост.

Как мне написать тест для этого?

Например, могу ли я создать bashскрипт, который проверяет данную комбинацию имени пользователя и пароля с зарегистрированным пользователем на хосте?

Использование PAM - лучшее решение. Вы можете написать небольшой код на C или установить пакет python-pam и использовать скрипт python, который входит в пакет python-pam. Видеть/usr/share/doc/python-pam/examples/pamtest.py

Правильный подход к проверке того, может ли пользователь войти в систему, состоит в том, чтобы фактически войти в систему как этот пользователь.

Поэтому я рекомендую использовать сценарий CGI expectдля запуска su, передачи пароля и запуска команды, которая должна быть выполнена. Вот черновик ожидаемого сценария, который делает именно это (предупреждение: абсолютно не проверено, и я не бегу в ожидании). Подставьте имя пользователя, пароль и команду (где я писал bob, swordfishа somecommand); не забудьте правильно процитировать.

spawn "/bin/su" "bob"
expect "Password:"
send "swordfish\r"
expect "^\\$"
send "somecommand"
expect -re "^\\$"
send "exit\r"
expect eof

Если вы действительно не хотите выполнять команду через слой su(например, потому что то, что вы делаете, должно быть выполнено самим процессом CGI), то используйте команду ожидают, чтобы запустить команду trueи проверить, что возвращаемый статус равен 0.

Другой подход заключается в использовании PAM непосредственно в вашем приложении через привязку PAM к Python .

Более конкретно, ответьте: «Можно ли создать bash-скрипт, который будет проверять заданную комбинацию имени пользователя и пароля на зарегистрированном пользователе на хосте?»

Да.

#!/bin/bash
uid=`id -u`

if [ $uid -ne 0 ]; then 
    echo "You must be root to run this"
    exit 1
fi

if [ $# -lt 1 ]; then
    echo "You must supply a username to check - ($# supplied)"
    exit 1
fi

username=$1
salt=`grep $username /etc/shadow | awk -F: ' {print substr($2,4,8)}'`

if [ "$salt" != "" ]; then

        newpass=`openssl passwd -1 -salt $salt`
        grep $username  /etc/shadow | grep -q  $newpass && echo "Success" || echo "Failure"

fi

Здесь приведено PAM-решение 'C', 'Python', позвольте мне также поставить perl :-)

Источник: http://search.cpan.org/~nikip/Authen-PAM-0.16/PAM/FAQ.pod#1._Can_I_authenticate_a_user_non_interactively ?

#!/usr/bin/perl

  use Authen::PAM;
  use POSIX qw(ttyname);

  $service = "login";
  $username = "foo";
  $password = "bar";
  $tty_name = ttyname(fileno(STDIN));

  sub my_conv_func {
    my @res;
    while ( @_ ) {
        my $code = shift;
        my $msg = shift;
        my $ans = "";

        $ans = $username if ($code == PAM_PROMPT_ECHO_ON() );
        $ans = $password if ($code == PAM_PROMPT_ECHO_OFF() );

        push @res, (PAM_SUCCESS(),$ans);
    }
    push @res, PAM_SUCCESS();
    return @res;
  }

  ref($pamh = new Authen::PAM($service, $username, \&my_conv_func)) ||
         die "Error code $pamh during PAM init!";

  $res = $pamh->pam_set_item(PAM_TTY(), $tty_name);
  $res = $pamh->pam_authenticate;
  print $pamh->pam_strerror($res),"\n" unless $res == PAM_SUCCESS();

Если у вас есть root-доступ и вы используете пароли md5 и вам просто нужно сравнить пароли, вы можете использовать модуль perl Crypt :: PasswdMD5 . Возьмите хеш MD5 из / etc / shadow, уберите $ 1 $, а затем разделите оставшиеся $. Поле 1 = соль, поле 2 = зашифрованный текст. Затем хэшируйте текстовый ввод в ваш CGI, сравните его с зашифрованным текстом, и Боб - ваш дядя.

#!/usr/bin/env perl

use Crypt::PasswdMD5;

my $user                = $ARGV[0];
my $plain               = $ARGV[1];
my $check               = qx{ grep $user /etc/shadow | cut -d: -f2 };
chomp($check);
my($salt,$md5txt)       = $check =~ m/\$1\$([^\$].+)\$(.*)$/;
my $pass                = unix_md5_crypt($plain, $salt);

if ( "$check" eq "$pass" ) {
        print "OK","\n";
} else {
        print "ERR","\n";
}

После некоторого поиска я написал эту программу на C, которую можно использовать из скрипта

#include <stdlib.h>
#include <stdio.h>
#include <pwd.h>
#include <shadow.h>
#include <string.h>
#include <crypt.h>
#include <unistd.h>
#include <libgen.h>

int main(int argc, char **argv) {
    struct spwd *pwd;
    if (argc != 3) {
        printf("usage:\n\t%s [username] [password]\n", basename(argv[0]));
        return 1;
    } else if (getuid() == 0) {
        pwd = getspnam(argv[1]);
        return strcmp(crypt(argv[2], pwd->sp_pwdp), pwd->sp_pwdp);
    } else {
        printf("You need to be root\n");
        return 1;
    }
}

Вы компилируете это с:

gcc -Wall password_check.c /usr/lib/libcrypt.a -o check_passwd

Вы можете использовать его как

sudo ./check_passwd <user> <password> && echo "success" || echo "failure"

Поскольку вы упомянули, что вы используете CGI в python, вероятно, уместно предположить, что вы используете Apache в качестве httpd-сервера. Если это так, оставьте процесс аутентификации вашей программы Apache и разрешайте только аутентифицированным людям выполнять ваши скрипты / программы cgi.

Существует множество модулей, которые могут выполнять аутентификацию для вас на Apache, это действительно зависит от того, какой механизм аутентификации вы ищете. То, как вы цитировали этот вопрос, похоже, связано с аутентификацией учетной записи локального хоста на основе / etc / passwd, теневых файлов. Модуль, который приходит к моему быстрому поиску по этому поводу mod_auth_shadow. Преимущество заключается в том, что вы позволяете кому-либо из авторитетных (работающих на привилегированном порту 80) аутентифицировать пользователя / пароль для вас, и вы можете полагаться на аутентифицированную информацию пользователя для запуска команд от имени пользователя, если это необходимо.

Хорошие ссылки для начала:

http://adam.shand.net/archives/2008/apache_tips_and_tricks/#index5h2

http://mod-auth-shadow.sourceforge.net/

http://www.howtoforge.com/apache_mod_auth_shadow_debian_ubuntu

Другой подход заключается в использовании модуля SuEXEc из Apache, который выполняет процессы (программы cgi) от имени аутентифицированного пользователя.

Этот код с использованием PAM работал для меня:

#include <security/pam_appl.h>
#include <security/pam_misc.h>
#include <stdio.h>
#include <string.h>

// Define custom PAM conversation function
int custom_converation(int num_msg, const struct pam_message** msg, struct pam_response** resp, void* appdata_ptr)
{
    // Provide password for the PAM conversation response that was passed into appdata_ptr
    struct pam_response* reply = (struct pam_response* )malloc(sizeof(struct pam_response));
    reply[0].resp = (char*)appdata_ptr;
    reply[0].resp_retcode = 0;

    *resp = reply;

    return PAM_SUCCESS;
}

int main (int argc, char* argv[]) 
{
    if (argc > 2)
    {
        // Set up a custom PAM conversation passing in authentication password
        char* password = (char*)malloc(strlen(argv[2]) + 1);
        strcpy(password, argv[2]);        
        struct pam_conv pamc = { custom_converation, password };
        pam_handle_t* pamh; 
        int retval;

        // Start PAM - just associate with something simple like the "whoami" command
        if ((retval = pam_start("whoami", argv[1], &pamc, &pamh)) == PAM_SUCCESS)
        {
            // Authenticate the user
            if ((retval = pam_authenticate(pamh, 0)) == PAM_SUCCESS) 
                fprintf(stdout, "OK\n"); 
            else 
                fprintf(stderr, "FAIL: pam_authentication failed.\n"); 

            // All done
            pam_end(pamh, 0); 
            return retval; 
        }
        else
        {
            fprintf(stderr, "FAIL: pam_start failed.\n"); 
            return retval;
        }
    }

    fprintf(stderr, "FAIL: expected two arguments for user name and password.\n"); 
    return 1; 
}

Лучшее, что вы можете сделать, если вам нужен скрипт для входа на хост, это настроить ключ ssh между хостами.

Ссылка: http://pkeck.myweb.uga.edu/ssh/

Я в значительной степени снял это со страницы

Во-первых, установите OpenSSH на двух машинах UNIX, быстро и надежно. Насколько я могу судить, это лучше всего работает с использованием ключей DSA и SSH2 по умолчанию. Все другие HOWTO, которые я видел, похоже, имеют дело с ключами RSA и SSH1, и инструкции не удивительно не работают с SSH2. На каждой машине введите ssh somemachine.example.com и установите соединение с обычным паролем. Это создаст .ssh dir в вашем домашнем каталоге с правильными привилегиями. На вашей основной машине, где вы хотите, чтобы ваши секретные ключи жили (скажем поспешно), введите

ssh-keygen -t dsa

Это попросит вас ввести секретную фразу-пароль. Если это ваш основной идентификационный ключ, обязательно используйте хорошую фразу-пароль. Если это работает правильно, вы получите два файла с именами id_dsa и id_dsa.pub в вашей директории .ssh. Примечание: можно просто нажать клавишу ввода, когда будет запрошена фраза-пароль, которая создаст ключ без ключевой фразы. Это плохая идея ™ для ключа идентификации, так что не делайте этого! Смотрите ниже для использования ключей без парольных фраз.

scp ~/.ssh/id_dsa.pub burly:.ssh/authorized_keys2

Скопируйте файл id_dsa.pub в каталог .ssh другого хоста с именем authorized_keys2. Теперь Burly готов принять ваш ключ SSH. Как сказать, какие ключи использовать? Команда ssh-add сделает это. Для теста введите

ssh-agent sh -c 'ssh-add < /dev/null && bash'

Это запустит ssh-agent, добавит вашу личность по умолчанию (запросит у вас пароль) и создаст оболочку bash. Из этой новой оболочки вы сможете:

ssh burly

Вы должны быть в состоянии войти