Red Hat 6.x / CentOS 6.x
Poza konfiguracją działania modułów w plikach /etc/pam.d, mechanizm PAM używa również konfiguracji zawartej w plikach znajdujących się w katalogu /etc/security. Konfiguracje te są aplikowane globalnie do odpowiadających im nazwą modułów. Działanie i przykłady użycia konfiguracji są opisane w samych plikach, oraz we właściwych manualach systemowych.Najczęściej używanymi są access.conf oraz limits.conf, i to na nich skupię ten tekst.
Konfiguracja limitów systemowych - limits.conf
Przy użyciu tego pliku możemy zdefiniować kilka limitów systemowych dla użytkowników lub ich grup. Jak opisuje to sam plik limits.conf składnia konfiguracji wygląda następująco:
<domain> <type> <item> <value>
Opis poszczególnych pól w pliku jest czytelny:
* domain - może to być użytkownik, grupa użytkowników jeśli wpis poprzedzony będzie @, lub wildcard-y % i * oznaczający wartość domyślną
* type to typ limitu - soft lub hard. Limitu hard system nie pozwoli przekroczyć, limit soft w niektórych orzypadkach może zostać przekroczony, ale zostaniemy poinformowani o tym fakcie.
* item to element, który zamierzamy limitować - wszystkie możliwości wymienione są w pliku.
* value to oczywiście wartość limitu.
Dla przykładu zdefiniujemy sobie limit jednoczesnych logowań konkretnego użytkownika. W pliku limits.conf dodajmy następującą linię:
test hard maxlogins 1
Nawiązanie pierwszej sesji użytkownika test przebiega normalnie, ale przy próbie nawiązania kolejnej otrzymamy komunikat:
[root@ipaclient1 ~]# ssh test@192.168.1.110
test@192.168.1.110's password:
Too many logins for 'test'.
Last login: Sat Oct 3 13:04:46 2015 from 192.168.1.111
Connection to 192.168.1.110 closed.
test@192.168.1.110's password:
Too many logins for 'test'.
Last login: Sat Oct 3 13:04:46 2015 from 192.168.1.111
Connection to 192.168.1.110 closed.
Kontrola dostępu poprzez access.conf
Z użyciem pliku access.conf w prosty sposób możemy ograniczyć dostęp konkretnych użytkowników z nieautoryzowanych lokalizacji, np. podsieci IP czy terminali. Sam plik konfiguracyjny pełen jest przykładów, które wystarczy dostosować do własnych potrzeb, np dodanie wpisu:
+ : test : 192.168.1.111
- : test : ALL
- : test : ALL
przydzieli dostęp (+) dla użytkownika test z jednego adresu IP (192.168.1.111) - próby zalogowania się z innych lokalizacji (ALL) zakończą się niepowodzeniem (ograniczenie dostępu poprzez -).
Należy pamiętać o jednej rzeczy. Z konfiguracji zawartej w tym pliku korzysta moduł pam_access.so, który nie jest domyślnie ładowany przez PAM - dlatego należy go dodać w plikach /etc/pam.d/password-auth oraz /etc/pam.d/system-auth:
auth required pam_env.so
auth required pam_access.so
auth sufficient pam_fprintd.so
auth required pam_access.so
auth sufficient pam_fprintd.so
Brak komentarzy:
Prześlij komentarz