>>Как сделать автоматическую регистрацию пользователей? Через https? Или через костыли с pam?
> Здесь это тоже никак не решено, сервер любой ключ принимает.Здесь, как я понимаю, вполне может быть реализована авторизация для уже занятых логинов по fingerprint или по другим признакам. Разница между данным решением и костылями через pam в том, что не придётся продумывать и реализовывать мегатонну деталей:
1. Сделать по изолированному контейнеру каждому пользователю (которых, грубо говоря, бесконечное количество). Это необходимо по большому количеству мелких причин, _например_ (один из _многих_ примеров) один пользователь может замусорить какой-нибудь IPC, и тем самым не дать всем другим пользователям нормально работать. К тому же в рамках данного примера, в случае с unshare(CLONE_NEWIPC) [который используют в частности и контейнерные системы в Linux] появляется элегантный GC для IPC, предотвращая исчерпания IPC-ресурсов (например семафоров или shm) из-за мелких утечек.
2. Запретить SFTP и прочую фигню.
3. Выставить дисковые квоты каждому контейнеру, чтобы не мешали друг другу работать.
4. Сделать screen с irssi шеллом по умолчанию
5. Модифицировать irssi так, чтобы люди не занимались ничем левым, кроме как chat-ом на данном сервере.
6. Безопасно организовать сеть во всей этой мешанине контейнеров так, чтобы не наплодить мегатонну интерфейсов.
n. т.д. и т.п.
В результате придётся сделать огромный мега-костыль. Который, вероятно, будет очень неудобен, не очень надёжен, и возможно будет содержать какие-то дыры безопасности (так как поверхность для атаки очень велика, а делано всё собственноручно и без сторонних проверок).
> Да через
> pam тоже можно всех подряд пускать.
Вы это уже делали когда-нибудь? _IIRC_, это сложнее, чем может показаться, ибо pam пытались делать безопасно, и в результате там запрещена авторизация несуществующих пользователей (ещё у них пароль подменяется на "*INVALID*", IIRC, но это сейчас не важно). Однако допускаю, что тут я могу что-то неправильно помнить.
Но вообще, если идти таким путём, то нужно будет придумать костыль, который пускает любого пользователя с любым логином (кроме root и других уже занятых, а также кроме логинов в виде чисел), а потом при следующих авторизациях вспоминает, что данный логин уже занят другим, и позволяет его использовать только при верном пароле, ключе или других признаках. + не стоит забывать задачи, перечисленные в начале данного комментария.
В результате можно будет случайно допустить ошибку, которая умному хацкеру даст возможность получить root от машинки.