Ubuntu-fr

V@riO

[RESOLU]-LTSP/LDM et login

Bonjour à tous,

je viens de tomber sur un problème et pas des moindres, j'ai remarqué après 1 an d'utilisation dans une salle en accès libre, basée sur LTSP, qu'on pouvait se connecter à une session même sans mot de passe, on rentre l'utilisateur et on ouvre sa session avec ou sans mot de passe... Un peut chaud niveau sécu des données. Le serveur de la salle est en 12.04 mais le problème est le même sur la 14.04. Quand je suis sur le shell aucuns soucis, les mots de passe sont respectés, il n'y a que avec LDM, et pour n'importe quel user admin inclus.

Voici le ltsp-info :

server information:
LSB Version:	core-2.0-ia32:core-2.0-noarch:core-3.0-ia32:core-3.0-noarch:core-3.1-ia32:core-3.1-noarch:core-3.2-ia32:core-3.2-noarch:core-4.0-ia32:core-4.0-noarch:core-4.1-ia32:core-4.1-noarch:security-4.0-ia32:security-4.0-noarch:security-4.1-ia32:security-4.1-noarch
Distributor ID:	Ubuntu
Description:	Ubuntu 14.04.2 LTS
Release:	14.04
Codename:	trusty

server packages:
ii ldm-server 2:2.2.13-1
un ltsp-client <aucun>
un ltsp-client-core <aucun>
ii ltsp-docs 1.1-1
ii ltsp-server 5.5.1-1ubuntu2
ii ltsp-server-standalone 5.5.1-1ubuntu2
un ltsp-utils <aucun>
ii ltspfs 1.3-1

packages in chroot: /opt/ltsp/i386
ii ldm 2:2.2.13-1
un ldm-themes <aucun>
ii ldm-ubuntu-theme 2:2.0.47
un ldm-ubuntu-themes <aucun>
ii ltsp-client 5.5.1-1ubuntu2
ii ltsp-client-core 5.5.1-1ubuntu2
ii ltspfsd 1.3-1
ii ltspfsd-core 1.3-1

found: /opt/ltsp/i386/etc/lts.conf

found image: /opt/ltsp/images/i386.img

et le lts.conf :

[default]
LTSP_CONFIG = True

## Gestion des applications clients
LOCAL_APPS = True
LOCAL_APPS_MENU = True
LOCAL_APPS_MENU_ITEMS = firefox,xterm,skype,vlc,volti

##Gestion des peripheriques
LOCALDEV = True
SOUND = True
SOUND_DEAMON = pulse
XKBLAYOUT = fr
X_NUMLOCK = True
LDM_GUESTLOGIN = False

Si quelqu'un est déjà tombé sur ce cas de figure, je suis preneur
Merci pour vos services.
Cordialement,
vario

Dernière modification par V@riO (Le 20/04/2015, à 10:53)

J5012

Re : [RESOLU]-LTSP/LDM et login

ben ordinairement dans une config de base n-utilisateurs , il n'y a que des clients legers dans un environnement chrootes par le serveur, donc pas modifiable, un pass à ce niveau ne sert pas ... aucune des sessions ne peut utiliser de services ou d'applications necessitant des droits superieurs à ceux predefinis par l'environnement chroot ...

V@riO

Re : [RESOLU]-LTSP/LDM et login

Bonjour,

j'utilise webmin pour la création des utilisateurs, nous somme plusieurs à devoir créer des comptes et tout le monde n'est pas à l'aise avec la commande. Les droits sont donnés via le module de gestion des utilisateurs et le /home/user est créé sur le serveur hôte, sur la 14.04, seul le compte administrateur est accessible avec un mot de passe erroné. Une fois dans connecté au compte admin sur un client léger il faut par contre le vrai mot de passe. Je suis en train de regarder comment bloquer le compte admin uniquement sur les client légers, mais je ne trouve pas d'options à LDM.

Merci !
vario.

V@riO

Re : [RESOLU]-LTSP/LDM et login

En modifiant les paramètre SSH dans /opt/ltsp/i386/etc... et en bloquant l'accès, plus aucuns utilisateur ne peut se connecter, bon ou mauvais mot de passe, j'ai essayé d'interdire uniquement l'administrateur mais tous les comtes sont bloqués, une fois le fichier remis à zéro je me retrouve au point de départ... J'ai généré des id-rsa.pub pour permettre une connexion auto au client pour extinction, messages etc, ça pourrait venir de là ? Personne n'est jamais tombé sur ce cas de figure ? C'est quand même un gros trou béant dans la sécurité !

Merci !
vario

Dernière modification par V@riO (Le 09/04/2015, à 15:21)

J5012

Re : [RESOLU]-LTSP/LDM et login

non personne n'est jamais tombe sur ce cas de figure qui n'est pas un serveur ltsp + clients dans une configuration originale normale !

si tes users sont crees par le module admin-users de webmin, ce sont donc des comptes locaux qui sont crees ! et non des comptes clients ltsp ...

V@riO

Re : [RESOLU]-LTSP/LDM et login

Et bien j'ai toujours fait comme ça, une installation de base, et les tests avec le compte principal sur un client léger, création du compte model avec adduser directement sur l'hôte, comme je pouvais m'y connecter avec directement après l'installation et la configuration des services sur les clients, je pensais que c'était la bonne solution. Il vaut mieux que je créais mes users à partir d'un environnement chroot dans /opt/ltsp/i386 ?

Merci de ton aide.
vario

mixout

Re : [RESOLU]-LTSP/LDM et login

Bonjour
idem, sur mes install normales de LTSP, (debian wheezy et Jessie ou Ubuntu server) je n'ai jamais vu un truc de la sorte
sinon, non, tu crées tes users sur le serveur
étrange ton souci, on dirait que c'est Webmin qui fait n'importe quoi
qu'appelles-tu "l'admin" ou "l'administrateur" ?
.

mixout

Re : [RESOLU]-LTSP/LDM et login

...et donnes-nous STP des indications précises pour reproduire le probleme

maxire

Re : [RESOLU]-LTSP/LDM et login

Bonjour,

l vaut mieux que je créais mes users à partir d'un environnement chroot dans /opt/ltsp/i386 ?

Ouh la! tu nages en pleine confusion, les utilisateurs doivent être créés sur le serveur et non sur le client, ne touches surtout pas à /opt/ltsp/i386.

Sinon, comme le remarque mixout, sois plus précis dans la description de ta configuration, notamment qu'entends-tu par:

J'ai généré des id-rsa.pub pour permettre une connexion auto au client pour extinction, messages etc, ça pourrait venir de là ?

Si tu utilises mal des clefs publiques tu as de fortes chances de casser le processus de contrôle d'accès, la saisie du mot de passe pourrait alors être ignorée.

---

Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail

V@riO

Re : [RESOLU]-LTSP/LDM et login

Bonjour maxire,

voici la méthode d'installation de A à Z :

- Installation Ubuntu 14.04
- Création du compte utilisateur admin "administrateur"
- Installation des services LTSP
- Test du démarrage d'un client léger avec connexion en tant que "administrateur"
- Création du compte "model" comprenant configurations/interface personnalisée, copie des configs de "model" dans /etc/skel
- Installation de webmin, modification du module d'ajout d'utilisateurs (temps de validité du compte, groupes)
- Configuration du serveur ssh pour les clients pour les commande à partir du serveur LTSP

Sur les clients, les utilisateurs basés sur "model" ont forcément besoin d'un mot de passe correct, seul le compte "administrateur" est bugué, on peut y entrer sans mp ou avec un mp erroné. Le compte "administrateur" étant créé à l'installation de Ubuntu, webmin n'intervient que sur les autre users.

Sur le serveur, tous les comptes doivent utiliser le bon mot de passe, "administrateur" compris.

C'est pour ça que je porte mon attention sur LDM, peut-être un soucis avec PAM je fouille depuis Lundi mais rien.

Merci pour ton aide.
vario

mixout

Re : [RESOLU]-LTSP/LDM et login

comprends toujours pas, désolé.
écris donc les commandes que tu tapes pour qu'on puisse reproduire exactement le probleme

Test du démarrage d'un client léger avec connexion en tant que "administrateur"

ca fonctionne normalement ou pas ?

maxire

Re : [RESOLU]-LTSP/LDM et login

ok,

Il est déjà possible d'écarter un dysfonctionnement de SSH, la configuration de la connexion serveur --> client via une clef publique est correcte.

Si je comprends bien, la connexion initiale immédiatement après installation des services LSTP du compte administrateur se faisait avec demande du mot de passe, les utilisateurs normaux sont toujours obligés d'entrer un mot de passe valide et depuis quelque temps le compte administrateur peut se connecter depuis un client sans entrer de mot de passe ou bien avec un mot de passe invalide.

Le problème existe donc uniquement avec le compte administrateur.

Questions:

Comment se passe la connexion directe au serveur du compte administrateur?
À quels groupes appartient le compte administrateur?
Quels sont les groupes d'un utilisateur normal?

Tester le compte administrateur en le détachant l'un après l'autre des groupes absents de la liste des groupes d'un utilisateur normal (attention activer root au préalable car tu perdras tes privilèges administrateur). Cela devrait permettre d'identifier le groupe qui pourrait poser problème ou pas et dans ce cas ce ne sera pas un problème d'appartenance de groupe.

À priori LDM n'est qu'une application passe-plat, elle se contente de fournir un code utilisateur et un mot de passe et donne la main au serveur qui accepte ou non la connexion, la piste PAM semble légitime, quel est le contenu de /etc/pam.d/sshd?

Une solution serait de supprimer le compte administrateur après activation du compte root auquel tu pourras accéder via un poste client en utilisant su.
Évidemment la mise en œuvre de cette solution n'expliquera rien mais aura le mérite de combler une brèche de sécurité (j'espère que le compte administrateur ne s'appelle pas admin) .

---

Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail

V@riO

Re : [RESOLU]-LTSP/LDM et login

Maxire,

depuis quelque temps le compte administrateur peut se connecter depuis un client sans entrer de mot de passe ou bien avec un mot de passe invalide.

Je ne sais pas depuis combien de temps la situation est celle-ci, je l'ai juste remarqué en aillant fait une faute dans le mot de passe sur le mot de passe du compte "administrateur", qui n'a pas pour nom de connexion "admin", adduser l'interdit. Il est possible que ce soit le cas depuis le début.

Le problème existe donc uniquement avec le compte administrateur.

Pour ubuntu 14.04 oui en effet mais pas pour la 12.04, mais je me concentre déjà sur la 14.04, il ne sera question que de celle ci pour le moment. Donc oui.

À partir du serveur en terminal ( pas de xinit ), la connexion est correct, il faut obligatoirement le bon mot de passe pour se connecter au compte "administrateur" et les autres.

Voici mon /etc/group :

root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:syslog,administrateur
tty:x:5:
disk:x:6:test
lp:x:7:
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:
fax:x:21:
voice:x:22:
cdrom:x:24:administrateur,test
floppy:x:25:
tape:x:26:
sudo:x:27:administrateur
audio:x:29:pulse,test
dip:x:30:administrateur
www-data:x:33:
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:
video:x:44:test
sasl:x:45:
plugdev:x:46:administrateur,test
staff:x:50:
games:x:60:
users:x:100:administrateur
nogroup:x:65534:
libuuid:x:101:
netdev:x:102:
crontab:x:103:
syslog:x:104:
messagebus:x:105:
fuse:x:106:test,administrateur
mlocate:x:107:
ssh:x:108:administrateur
administrateur:x:1000:administrateur
lpadmin:x:109:administrateur
sambashare:x:110:administrateur
dhcpd:x:111:
tftp:x:112:
scanner:x:113:saned,test,administrateur
colord:x:114:
pulse:x:115:administrateur
pulse-access:x:116:
rtkit:x:117:
nbd:x:118:
saned:x:119:administrateur
ssl-cert:x:120:
avahi:x:121:
utempter:x:122:
model:x:1001:

le /opt/ltsp/i386/etc/group vide, aucuns user crée en chroot

root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:syslog
tty:x:5:
disk:x:6:
lp:x:7:
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:
fax:x:21:
voice:x:22:
cdrom:x:24:
floppy:x:25:
tape:x:26:
sudo:x:27:
audio:x:29:pulse
dip:x:30:
www-data:x:33:
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:
video:x:44:
sasl:x:45:
plugdev:x:46:
staff:x:50:
games:x:60:
users:x:100:
nogroup:x:65534:
libuuid:x:101:
netdev:x:102:
crontab:x:103:
syslog:x:104:
messagebus:x:105:
scanner:x:106:saned
fuse:x:107:
ssh:x:108:
lpadmin:x:109:
utempter:x:110:
saned:x:111:
rtkit:x:112:
pulse:x:113:
pulse-access:x:114:
colord:x:115:
administrateur:x:1000:

le /etc/pam.d/sshd

# PAM configuration for the Secure Shell service

# Standard Un*x authentication.
@include common-auth

# Disallow non-root logins when /etc/nologin exists.
account    required     pam_nologin.so

# Uncomment and edit /etc/security/access.conf if you need to set complex
# access limits that are hard to express in sshd_config.
# account  required     pam_access.so

# Standard Un*x authorization.
@include common-account

# SELinux needs to be the first session rule.  This ensures that any
# lingering context has been cleared.  Without this it is possible that a
# module could execute code in the wrong domain.
session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so close

# Set the loginuid process attribute.
session    required     pam_loginuid.so

# Create a new session keyring.
session    optional     pam_keyinit.so force revoke

# Standard Un*x session setup and teardown.
@include common-session

# Print the message of the day upon successful login.
# This includes a dynamically generated part from /run/motd.dynamic
# and a static (admin-editable) part from /etc/motd.
session    optional     pam_motd.so  motd=/run/motd.dynamic noupdate
session    optional     pam_motd.so # [1]

# Print the status of the user's mailbox upon successful login.
session    optional     pam_mail.so standard noenv # [1]

# Set up user limits from /etc/security/limits.conf.
session    required     pam_limits.so

# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
session    required     pam_env.so # [1]
# In Debian 4.0 (etch), locale-related environment variables were moved to
# /etc/default/locale, so read that as well.
session    required     pam_env.so user_readenv=1 envfile=/etc/default/locale

# SELinux needs to intervene at login time to ensure that the process starts
# in the proper default security context.  Only sessions which are intended
# to run in the user's context should be run after this.
session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so open

# Standard Un*x password updating.
@include common-password

le /opt/ltsp/i386/etc/pam.d/sshd

# PAM configuration for the Secure Shell service

# Standard Un*x authentication.
@include common-auth

# Disallow non-root logins when /etc/nologin exists.
account    required     pam_nologin.so

# Uncomment and edit /etc/security/access.conf if you need to set complex
# access limits that are hard to express in sshd_config.
# account  required     pam_access.so

# Standard Un*x authorization.
@include common-account

# SELinux needs to be the first session rule.  This ensures that any
# lingering context has been cleared.  Without this it is possible that a
# module could execute code in the wrong domain.
session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so close

# Set the loginuid process attribute.
session    required     pam_loginuid.so

# Create a new session keyring.
session    optional     pam_keyinit.so force revoke

# Standard Un*x session setup and teardown.
@include common-session

# Print the message of the day upon successful login.
# This includes a dynamically generated part from /run/motd.dynamic
# and a static (admin-editable) part from /etc/motd.
session    optional     pam_motd.so  motd=/run/motd.dynamic noupdate
session    optional     pam_motd.so # [1]

# Print the status of the user's mailbox upon successful login.
session    optional     pam_mail.so standard noenv # [1]

# Set up user limits from /etc/security/limits.conf.
session    required     pam_limits.so

# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
session    required     pam_env.so # [1]
# In Debian 4.0 (etch), locale-related environment variables were moved to
# /etc/default/locale, so read that as well.
session    required     pam_env.so user_readenv=1 envfile=/etc/default/locale

# SELinux needs to intervene at login time to ensure that the process starts
# in the proper default security context.  Only sessions which are intended
# to run in the user's context should be run after this.
session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so open

# Standard Un*x password updating.
@include common-password

Je vais faire comme tu m'as dit, supprimer un à un les groupes de "administrateur", et tenter de trouver le potentiel groupe qui poserait problème. C'est quand même étrange que je ne trouve aucun post là dessus sur la toile, mise à par quelques services comme squid, Monitorix, ou l'interface webmin, c'est une installation assez standard d'un LTSP.

Merci de ton aide précieuse.
vario

Dernière modification par V@riO (Le 10/04/2015, à 15:59)

V@riO

Re : [RESOLU]-LTSP/LDM et login

Bonjour,

désolé pour le temps de réponse, j'étais en congé .

J'ai donc supprimer l'utilisateur "administrateur" des groupes en testant à chaque fois et en faisant un ltsp-update-image, rien n'y fait. J'ai donc supprimer l'utilisateur et son dossier personnel, j'ai ensuite recréé le compte, en ajoutant "administrateur" au groupe "sudo" et "admin". "administrateur" ne peut plus se connecter avec un compte erroné. Je vais passer ce post en résolu même si j'aimerais connaître la source de ce problème. Je continu les recherche et si je trouve quelque chose je rouvrirais ce post.

Merci à tous pour votre aide.
Cordialement,
vario.

maxire

Re : [RESOLU]-LTSP/LDM et login

Bonjour,

J'avais un peu oublié ce problème:

Pour information voici les groupes d'appartenance d'un utilisateur administrateur d'un serveur LTSP Debian Wheezy, administrateur nommé ltsp-admijn:

ltsp-admin cdrom floppy sudo audio dip video plugdev scanner bluetooth netdev ssh

J'ai une remarque, je ne vois que l'utilisateur model dans /etc/group, où sont passés les autres utilisateurs?

À priori lors de test tests appliquer ltsp-update-image ne servait à rien, la prise en compte des caractéristiques des utilisateurs est immédiate dès modification, pour peu qu'une connexion/déconnexion du client est réalisée.

À quels groupes appartient l'administrateur actuel?

groups administrateur 

Dernière modification par maxire (Le 20/04/2015, à 11:24)

---

Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail

V@riO

Re : [RESOLU]-LTSP/LDM et login

Bonjour maxire,

je n'ai aucun groupe "ltsp-admin" dans mon /etc/group, l'utilisateur "administrateur" appartient à cdrom floppy sudo audio video plugdev scanner adm, le groupe ltsp-admin est créé à l'installation du serveur LTSP ?.

J'ai une remarque, je ne vois que l'utilisateur model dans /etc/group, où sont passés les autres utilisateurs?

C'est un serveur de test sur plusieurs machines virtuelles, seul l'utilisateur "model" est créé, ses paramètres sont synchronisés dans /etc/skel pour la création de nouveaux utilisateurs.

À priori lors de test tests appliquer ltsp-update-image ne servait à rien, la prise en compte des caractéristiques des utilisateurs est immédiate dès modification

En effet, mais comme j'étais arrivé au bout de mes déco reco, j'ai fait un update-image, juste au cas.

Merci.

maxire

Re : [RESOLU]-LTSP/LDM et login

C'est normal qu'aucun groupe ltsp-admin n'existe sur ton serveur, c'est un groupe automatiquement créé lors de la création de l'utilisateur nommé ltsp-admin (voir man adduser ou man useradd).

Merci pour les précisions concernant les autres utilisateurs, si je devine bien administrateur appartient à:

administrateur cdrom floppy sudo audio dip video plugdev scanner bluetooth netdev ssh

c'est bien cela?

---

Maxire
Archlinux/Mate + Ubuntu 22.04 + Archlinux/Gnome sur poste de travail

V@riO

Re : [RESOLU]-LTSP/LDM et login

Re,

Voici les groupes d'on "administrateur fait parti, je l'avais précisé plus haut mais zapé les balises code.

administrateur cdrom floppy sudo audio video plugdev scanner adm

Merci.