PAM.

[Alessandro Baggi]

Un saluto a tutta la lista. Stavo cercando di studiare linux-pam e sono 
incappato in un dubbio. Sul sito di pam, la guida riporta:

"The /service/ is typically the familiar name of the corresponding 
application: /login/ and /su/ are good examples. The /service/-name, 
/other/, is reserved for giving /default/ rules. Only lines that mention 
the current service (or in the absence of such, the /other/ entries) 
will be associated with the given service-application. "

Ora la mia domanda è: l'utilizzo di other per specificare una politica 
di default, viene presa in considerazione solo se non viene trovato un 
file per uno specifico programma, oppure viene applicata anche quando 
viene trovato il file per una specifica applicazione, per esempio chfn, 
  ma nel quale non è presente uno dei moduli auth, password, account o 
session.

Faccio un esempio:

supponendo di avere un /etc/pam.d/other configurato in questa modalita:

auth required pam_unix.so
password required pam_unix.so
account required pam_unix.so
session required pam_unix.so

e supponendo di avere un file /etc/pam.d/chfn in questa modalita:

auth     sufficient pam_rootok.so
auth     required  pam_unix.so shadow md5...
password required pam_cracklib.so retry=3
password    required pam_unix.so shadow.....
session required pam_unix.so

lanciando chfn da un semplice user, il tutto funziona correttamente.

Ora, supponendo invece di avere un /etc/pam.d/other cosi:

auth required pam_deny.so
password required pam_deny.so
account required pam_deny.so
session required pam_deny.so

e il precedente chfn con la stessa configurazione, lanciando il comando 
chfn da user, dopo l'inserimento della password, viene riportato PAM 
authentication failed.
Inserendo, pero, in /etc/pam.d/chfn:

account required pam_unix.so

chfn funziona a dovere.
Quindi, facendo riferimento all'esempio, avendo una politica deny in 
other, se nel file /etc/pam.d/chfn viene a mancare, come in questo caso, 
la direttiva account, pam applica la direttiva account di /etc/pam.d/other?

Lo stesso comportamento si verifica anche con chsh.

Grazie in anticipo