AIX] ssh 접속할 때 패스워드 인증 실패

2018.08.10 07:00




시스템에 관한 보안점검 결과 텔넷으로 시스템 접속을 차단하고 ssh만 사용하라는 지적사항이 있었다. 



보안에 관한 기본적인 사항이지만 예전에 구축했던 시스템의 경우 서비스에 영향을 줄 수 있다는 핑계로 그냥 telnet 접속을 허용했었는데 이번엔 좀 강력한 태클(?)이 들어와서 깨깽. 


구식 시스템(AIX 5.3)이라 sshd가 설치되어 있지 않아서 sshd를 설치하고 다른 몇가지 보안사항을 적용하고 나니 엉뚱한 문제가 생겼다. 




텔넷으로 접속하면 잘되는 계정과 패스워드인데 ssh로 접속하면 패스워드 인증 실패 메시지가 나온다. 

(Password authentication failed)






구글링과 계속되는 삽질로 고생하다가 결론적으로 pam.conf 설정 수정하고 해결하였따~~~







설치한 ssh 버전



1
2
3
4
5
6
7
8
[server:/] lslpp -| grep ssh
  openssh.base.client     6.0.0.6111  확정됨     Open Secure Shell Commands
  openssh.base.server     6.0.0.6111  확정됨     Open Secure Shell Server
  openssh.license         6.0.0.6111  확정됨     Open Secure Shell License
  openssh.man.en_US       6.0.0.6111  확정됨     Open Secure Shell
  openssh.msg.en_US       6.0.0.6111  확정됨     Open Secure Shell Messages -
  openssh.base.client     6.0.0.6111  확정됨     Open Secure Shell Commands
  openssh.base.server     6.0.0.6111  확정됨     Open Secure Shell Server
cs







login.cfg 파일을 열어보면 인증타입이 IBM 스탠다드 인증(STD_AUTH) 이 아니라 PAM인증을 사용하도록 되어 있다. 




1
2
3
4
5
6
7
8
[server:/] cat /etc/security/login.cfg
 
 
#       auth_type = STD_AUTH
        auth_type = PAM_AUTH
        pwd_algorithm = ssha512
 
 
cs




pam.conf 파일을 뒤져보았더니 telnet에 관한 설정만 있고 ssh에 대한 설정은 빠져있다. 





1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
[server:/] cat /etc/pam.conf
 
 
 
#
# Authentication
#
dtaction auth   required        pam_aix
dtsession auth  required        pam_aix
dtlogin auth    required        pam_aix
ftp     auth    required        pam_aix
imap    auth    required        pam_aix
login   auth    required        pam_aix
rexec   auth    required        pam_aix
rlogin  auth    sufficient      pam_rhosts_auth
rlogin  auth    required        pam_aix
rsh     auth    required        pam_rhosts_auth
snapp   auth    required        pam_aix
su      auth    sufficient      pam_allowroot
su      auth    required        pam_aix
telnet  auth    required        pam_aix
OTHER   auth    required        pam_prohibit
 
cs





telnet 부분을 복사해서 붙이고 이름만 ssh로 바꿔서 수정했다. 

(모두 6군데)




1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
#
# Authentication
#
dtaction auth   required        pam_aix
dtsession auth  required        pam_aix
dtlogin auth    required        pam_aix
ftp     auth    required        pam_aix
imap    auth    required        pam_aix
login   auth    required        pam_aix
rexec   auth    required        pam_aix
rlogin  auth    sufficient      pam_rhosts_auth
rlogin  auth    required        pam_aix
rsh     auth    required        pam_rhosts_auth
snapp   auth    required        pam_aix
su      auth    sufficient      pam_allowroot
su      auth    required        pam_aix
telnet  auth    required        pam_aix
sshd    auth    required        pam_aix
OTHER   auth    required        pam_prohibit
 
#
# Account Management
#
dtlogin account required        pam_aix
ftp     account required        pam_aix
login   account required        pam_aix
rexec   account required        pam_aix
rlogin  account required        pam_aix
rsh     account required        pam_aix
su      account sufficient      pam_allowroot
su      account required        pam_aix
telnet  account required        pam_aix
sshd    account required        pam_aix
OTHER   account required        pam_prohibit
 
#
# Password Management
#
dtlogin password  required      pam_aix
login   password  required      pam_aix
passwd  password  required      pam_aix
rlogin  password  required      pam_aix
su      password  required      pam_aix
telnet  password  required      pam_aix
sshd    password  required      pam_aix
OTHER   password  required      pam_prohibit
 
 
 
#
# Session Management
#
dtlogin session required        pam_aix
ftp     session required        pam_aix
imap    session required        pam_aix
login   session required        pam_aix
rexec   session required        pam_aix
rlogin  session required        pam_aix
rsh     session required        pam_aix
snapp   session required        pam_aix
su      session required        pam_aix
telnet  session required        pam_aix
sshd    session required        pam_aix
OTHER   session required        pam_prohibit
 
... ... ...
cs




수정 후 정상적으로 ssh 접속 가능

(ssh 재기동 불필요)



또루아빠 Linux, Unix , , , , , , ,