Як написати тест для входу в систему?

Я написав сценарій CGI Python, який викликає bashкоманди, і його потрібно перевірити на успішний вхід на хост.

Як написати тест на це?

Наприклад, чи можу я створити bashскрипт, який тестує задану комбінацію імені користувача та пароля проти зареєстрованого користувача на хості?

Використання PAM - найкраще рішення. Ви можете написати невеликий код C або встановити пакунок python-pam та використовувати сценарій python, який постачається разом із пакетом python-pam. Подивитися/usr/share/doc/python-pam/examples/pamtest.py

Правильний підхід до тестування того, чи може користувач увійти, - це насправді увійти як такий користувач.

Тому я рекомендую використовувати сценарій CGI expectдля запуску su, передачі пароля та запуску команди, яка повинна бути виконана. Ось проект сценарію очікування, який робить саме це (попередження: абсолютно неперевірений, і я не вільно в очікуванні). Підставте ім'я користувача, пароль і команду (де я писав bob, swordfishа somecommand); обов'язково цитуйте правильно.

spawn "/bin/su" "bob"
expect "Password:"
send "swordfish\r"
expect "^\\$"
send "somecommand"
expect -re "^\\$"
send "exit\r"
expect eof

Якщо ви дійсно не хочете виконувати команду через шар su(наприклад, тому, що те, що ви робите, повинно виконувати сам процес CGI), тоді використовуйте очікувати, щоб запустити команду trueі перевірте, чи є стан повернення 0.

Іншим підходом було б використання PAM безпосередньо у вашій програмі через прив'язку PAM до Python .

Більш конкретно відповісти: "Чи можливо створити скрипт bash, який перевірить задану комбінацію імені користувача та пароля проти зареєстрованого користувача на хості?"

Так.

#!/bin/bash
uid=`id -u`

if [ $uid -ne 0 ]; then 
    echo "You must be root to run this"
    exit 1
fi

if [ $# -lt 1 ]; then
    echo "You must supply a username to check - ($# supplied)"
    exit 1
fi

username=$1
salt=`grep $username /etc/shadow | awk -F: ' {print substr($2,4,8)}'`

if [ "$salt" != "" ]; then

        newpass=`openssl passwd -1 -salt $salt`
        grep $username  /etc/shadow | grep -q  $newpass && echo "Success" || echo "Failure"

fi

Тут є цитування PAM-рішення "C", "Python", дозвольте мені також поставити perl :-)

Джерело: http://search.cpan.org/~nikip/Authen-PAM-0.16/PAM/FAQ.pod#1._Can_I_authenticate_a_user_non_interactively ?

#!/usr/bin/perl

  use Authen::PAM;
  use POSIX qw(ttyname);

  $service = "login";
  $username = "foo";
  $password = "bar";
  $tty_name = ttyname(fileno(STDIN));

  sub my_conv_func {
    my @res;
    while ( @_ ) {
        my $code = shift;
        my $msg = shift;
        my $ans = "";

        $ans = $username if ($code == PAM_PROMPT_ECHO_ON() );
        $ans = $password if ($code == PAM_PROMPT_ECHO_OFF() );

        push @res, (PAM_SUCCESS(),$ans);
    }
    push @res, PAM_SUCCESS();
    return @res;
  }

  ref($pamh = new Authen::PAM($service, $username, \&my_conv_func)) ||
         die "Error code $pamh during PAM init!";

  $res = $pamh->pam_set_item(PAM_TTY(), $tty_name);
  $res = $pamh->pam_authenticate;
  print $pamh->pam_strerror($res),"\n" unless $res == PAM_SUCCESS();

Якщо у вас є кореневий доступ і ви використовуєте паролі md5, і вам просто потрібно порівняти паролі, ви можете використовувати модуль perl Crypt :: PasswdMD5 . Візьміть хеш MD5 з / etc / shadow, зніміть $ 1 $, а потім розділіть на решту $. Поле 1 = Сіль, Поле 2 = зашифрований текст. Потім введіть текст у свій CGI, порівняйте його з зашифрованим текстом, а Боб - ваш дядько.

#!/usr/bin/env perl

use Crypt::PasswdMD5;

my $user                = $ARGV[0];
my $plain               = $ARGV[1];
my $check               = qx{ grep $user /etc/shadow | cut -d: -f2 };
chomp($check);
my($salt,$md5txt)       = $check =~ m/\$1\$([^\$].+)\$(.*)$/;
my $pass                = unix_md5_crypt($plain, $salt);

if ( "$check" eq "$pass" ) {
        print "OK","\n";
} else {
        print "ERR","\n";
}

Після деякого пошуку я написав цю програму на C, яку можна використовувати із сценарію

#include <stdlib.h>
#include <stdio.h>
#include <pwd.h>
#include <shadow.h>
#include <string.h>
#include <crypt.h>
#include <unistd.h>
#include <libgen.h>

int main(int argc, char **argv) {
    struct spwd *pwd;
    if (argc != 3) {
        printf("usage:\n\t%s [username] [password]\n", basename(argv[0]));
        return 1;
    } else if (getuid() == 0) {
        pwd = getspnam(argv[1]);
        return strcmp(crypt(argv[2], pwd->sp_pwdp), pwd->sp_pwdp);
    } else {
        printf("You need to be root\n");
        return 1;
    }
}

Ви компілюєте це з:

gcc -Wall password_check.c /usr/lib/libcrypt.a -o check_passwd

Ви можете використовувати його як

sudo ./check_passwd <user> <password> && echo "success" || echo "failure"

Оскільки ви згадали, що використовуєте CGI в python, можливо, доречно припустити, що ви використовуєте Apache як ваш httpd-сервер. Якщо це так, залиште процес аутентифікації вашої програми Apache і дозвольте лише автентифікованим людям виконувати ваші скрипти / програми cgi.

Є достатньо модулів, які можуть зробити аутентифікацію для вас на Apache, це дійсно залежить від того, який механізм аутентифікації ви шукаєте. Спосіб, який ви цитували у запитанні, схоже, пов’язаний із автентифікацією локального облікового запису на основі / etc / passwd, тіньових файлів. Модуль, який приходить до мого швидкого пошуку щодо цього mod_auth_shadow. Перевагою є те, що ви дозволяєте комусь авторитетному (працює на привілейованому порту 80) аутентифікацію користувача / пароля для вас, і ви можете розраховувати на автентифіковану інформацію користувача для виконання команд від імені користувача, якщо це необхідно.

Хороші посилання для початку:

http://adam.shand.net/archives/2008/apache_tips_and_tricks/#index5h2

http://mod-auth-shadow.sourceforge.net/

http://www.howtoforge.com/apache_mod_auth_shadow_debian_ubuntu

Іншим підходом є використання модуля SuEXEc Apache, який виконує процеси (програми cgi) від імені автентифікованого користувача.

Цей код із використанням PAM працював для мене:

#include <security/pam_appl.h>
#include <security/pam_misc.h>
#include <stdio.h>
#include <string.h>

// Define custom PAM conversation function
int custom_converation(int num_msg, const struct pam_message** msg, struct pam_response** resp, void* appdata_ptr)
{
    // Provide password for the PAM conversation response that was passed into appdata_ptr
    struct pam_response* reply = (struct pam_response* )malloc(sizeof(struct pam_response));
    reply[0].resp = (char*)appdata_ptr;
    reply[0].resp_retcode = 0;

    *resp = reply;

    return PAM_SUCCESS;
}

int main (int argc, char* argv[]) 
{
    if (argc > 2)
    {
        // Set up a custom PAM conversation passing in authentication password
        char* password = (char*)malloc(strlen(argv[2]) + 1);
        strcpy(password, argv[2]);        
        struct pam_conv pamc = { custom_converation, password };
        pam_handle_t* pamh; 
        int retval;

        // Start PAM - just associate with something simple like the "whoami" command
        if ((retval = pam_start("whoami", argv[1], &pamc, &pamh)) == PAM_SUCCESS)
        {
            // Authenticate the user
            if ((retval = pam_authenticate(pamh, 0)) == PAM_SUCCESS) 
                fprintf(stdout, "OK\n"); 
            else 
                fprintf(stderr, "FAIL: pam_authentication failed.\n"); 

            // All done
            pam_end(pamh, 0); 
            return retval; 
        }
        else
        {
            fprintf(stderr, "FAIL: pam_start failed.\n"); 
            return retval;
        }
    }

    fprintf(stderr, "FAIL: expected two arguments for user name and password.\n"); 
    return 1; 
}

Найкраще, що ви можете зробити, якщо вам потрібен сценарій для входу в хост, - налаштувати ключ ssh між хостами.

Посилання: http://pkeck.myweb.uga.edu/ssh/

Я досить підняв це зі сторінки

Спочатку встановіть OpenSSH на двох машинах UNIX, поспішно та швидко. Наскільки я найкраще працює, використовуючи клавіші DSA та SSH2 за замовчуванням. Всі інші HOWTO, які я бачив, схоже, мають справу з ключами RSA та SSH1, і інструкції не дивно не працюють з SSH2. На кожній машині введіть ssh somemachine.example.com та встановіть з'єднання зі своїм звичайним паролем. Це створить .ssh dir у вашому домашньому каталозі з відповідними колами. На основній машині, де ви хочете жити ваші секретні ключі (скажімо, поспішно), введіть

ssh-keygen -t dsa

Це підкаже вам таємну парольну фразу. Якщо це ваш основний ідентифікаційний ключ, обов'язково використовуйте хорошу фразу. Якщо це правильно, ви отримаєте два файли під назвою id_dsa та id_dsa.pub у своєму .ssh dir. Примітка. Можна просто натиснути клавішу введення, коли буде запропоновано ввести парольну фразу, яка зробить ключ без парольної фрази. Це погана ідея ™ для ідентифікаційного ключа, тому не робіть цього! Дивіться нижче про використання клавіш без парольних фраз.

scp ~/.ssh/id_dsa.pub burly:.ssh/authorized_keys2

Скопіюйте файл id_dsa.pub у файл .ssh dir другого хоста з ім'ям_позволений_keys2. Тепер Burly готовий прийняти ваш ssh ключ. Як сказати, які клавіші використовувати? Команда ssh-add зробить це. Для тестування введіть

ssh-agent sh -c 'ssh-add < /dev/null && bash'

Це запустить ssh-агент, додасть вашу ідентифікацію за замовчуванням (запропонує вам ввести парольну фразу) та породжує оболонку bash. З цієї нової оболонки ви зможете:

ssh burly

Ви повинні мати можливість увійти