Debian, PHP. Как в PAM сделать авторизацию для root?

Question

[Ксюша]

Установила PAM. Авторизация на сайте работает для всех, кроме root. Читала, что надо что-то поменять в конфигах /etc/pam.d/ Подскажите, пожалуйста, что нужно поменять? Никак не могу найти.
Хех, только что нашла решение. В /etc/pam.d/php нужно закомментировать строчку auth [success=ok new_authtok_reqd=ok ignore=ignore user_unknown=bad default=die]

Answer 1

[CityCat4]

Телепаты в отпуске, простите :) PAM - это система подключаемых модулей аутентификации, предназначенных для гибкоц настройки аутентификации, авторизации и прочих вещей, к сайту мало относящихся. Равно как и руту на сайте делать ну совершенно нечего. Задача как сформирована?

Comments

[Ксюша]

Мне нужна просто авторизация на сайте по логину и паролю пользователей системы. Вот тут описание всего seelts.ru/php-pam Но мне также нужна авторизация и для рута. Она не работает у меня.

[CityCat4]

Ксюша: Неее, простите, в деле "выстрелить себе в ногу" я не советчик. Описанное Вами решение рушит на корню всю безопасность системы, на которой будет крутиться данный сайт. В движке сайта дыру найти куда легче, чем в системе, /etc/shadow уходит налево, сайт ломается и мы наблюдаем очередной вопль MS-филов - "На линухе тоже есть вирусы!"

Answer 2

[Павел Селиванов]

Ксюша:

1. Ты пытаешься очень больно выстрелить себе в ногу. Практически всегда, если куда-то требуются рутовые права, можно выдать только необходимую их часть через sudo/acl/capabilities.

2. Но, не стреляя себе в ногу, опыта не наберёшься, да и вообще "because I can" - наш главный девиз, поэтому:
- проверь, что рут может входить с таким паролем локально
- посмотри, что интересного появляется в /var/log/auth.log
- удали всё лишнее из /etc/pam.d/php. По идее, можно оставить только pam_unix