PAM: Ograniczenie możliwości logowania się użytkowników względem miejsca logowania

W systemie Linux można również ograniczyć skąd kto może się logować. Takie limity wprowadza się edytując plik /etc/security/access.conf.

W pliku tym uprawnienia nadajemy lub odbieramy. Czynimy to w pierwszej kolumnie wpisów używając znaku "+" (plus) lub "-" (minus). Druga kolumna określa kogo te ograniczenia tyczą. Możemy użyć nazwy użytkownika, grupy lub słowa "ALL" oznaczającego wszystkich. Trzecia kolumna oznacza źródło logowania. Może to być: jeden numer tty lub więcej (dla logowań lokalnych), nazwa komputera, domena (poprzedzona kropką), adres IP, adres sieci (poprzedzony kropką), słowo ALL oznaczające wszystko lub LOCAL oznaczające wszystko nie zawierające "." w sobie.

W przypadku korzystania z serwera NIS możemy użyć nazw @netgroupname w nazwie grupy lub użytkownika, będzie wtedy działało nawet @usergroup@hostgroups.

Plik jest przeszukiwany do wystąpienia pierwszego pasującego wpisu.

Przykłady

  1. Uniemożliwmy logowanie lokalne wszystkim poza kilku użytkownikom:
    -:ALL EXCEPT wheel shutdown sync:LOCAL
  2. Uniemożliwmy logowanie na grupę uprzywilejowaną (wheel) ze zdalnych lokalizacji oraz spoza domeny .win.tue.nl:
    -:wheel:ALL EXCEPT LOCAL .win.tue.nl
  3. Uniemożliwmy logowanie się na kilka kont skądkolwiek:
    -:wsbscaro wsbsecr wsbspac wsbsym wscosor wstaiwde:ALL

Na pewno należy ograniczyć możliwość logowania się na konto administratora oraz konta użytkowników, którzy mają dostęp do powłoki systemowej.

One thought on “PAM: Ograniczenie możliwości logowania się użytkowników względem miejsca logowania”

  1. Jak to zrobić „Ograniczenia czasowego logowania się użytkowników z grupy goscie (godzina, dzień)” ? 😀

Dodaj komentarz