访问控制大师 使用pam来支持login的访问控制

2016-01-29 18:14 7 1 收藏

访问控制大师 使用pam来支持login的访问控制,访问控制大师,使用pam来支持login的访问控制

【 tulaoshi.com - Linux 】


  这里我们需要使用pam_access。pam_access是pam中处理用户访问控制的模块,没有使用pam前,linux对用户的所有访问控制都是借助hosts.allow, hosts.deny文件,实现所有服务的访问控制,再加上usertty就是对用户登陆控制(专门是针对login)。但是,随着pam的应用,usertty已经不再使用了,虽然login的man里还会提到。
  
  现在我们看看如何利用pam_access对个别用户进行登陆访问控制(对所有使用login的都有效),首先,我们需要的是访问控制的配置文件,这个文件在/etc/security/access.conf。整个文件的格式都是: 权限:用户(可多个并用空格隔开):源访问点。下面对每个区域简单说明:
  权限(permission) 这一位可以是+/-。其中+表示允许访问,-表示禁止访问;
  
  用户(users) 这是指定用户名,用户组名或网络用户组名,指定的是多个要用空格隔开。对于指定网络用户组名时,网络用户组名应指定用户组所在的源访问点并用@和用户组名分开。除此以外,还可以用ALL指定所有的和EXCEPT指定特殊例外的用户。
  
  源访问点(Origins) 这是指定用户域中原访问点。这里可指定用户访问的ttyname,hostname,domainname或ip。其中domainname是指以.开头的主机名,例如,.downsky.net就是指定downsky.net这个域。在这里可以使用ALL和EXCEPT的关键字,也也指定LOCAL。
  下面我们看看一些例子,如果你先限制一些用户在某些主机的登陆权限,我们提供登陆服务的主机叫linux,下面我们看看access.conf的配置情况:
  
  1. # access.conf file
  2. -:ALL:.foo.com .hacker.org
  3. -:ALL EXCEPT root: tty1
  4. +:ALL EXCEPT root:192.168.1.

  5. +:root user:.downsky.net
  6. -:chase:192.168.2.
  7. -:ALL:ALL
  
  从以上的配置文件可以看到,第二行拒绝所有从域名.foo.com和.hacker.org的登陆访问;第三行拒绝除root以外的用户从控制台登录访问;第四行允许除root外所有的用户从192.168.1.的网段登录访问。第五行允许root和user用户组中的成员从downsky.net登录访问。第六行拒绝用户chase从192.168.2网段的登录访问,第七行拒绝其它的登录访问...
  现在我们只要在/etc/pam.d/login的文件里加上下面一行
  
  account required /lib/security/pam_access.so
  就可以使login使用pam_access来对用户进行登陆访问控制了。整个login的文件如下
  auth requisite /lib/security/pam_unix.so nullok #set_secrpc
  auth required /lib/security/pam_securetty.so
  auth required /lib/security/pam_nologin.so
  #auth required /lib/security/pam_homecheck.so
  auth required /lib/security/pam_env.so
  auth required /lib/security/pam_mail.so
  account required /lib/security/pam_unix.so
  account required /lib/security/pam_access.so
  password required /lib/security/pam_pwcheck.so nullok
  password required /lib/security/pam_unix.so nullok use_first_pass use_authtok
  session required /lib/security/pam_unix.so none # debug or trace
  session required /lib/security/pam_limits.so
  
  如果被拒绝的用户登陆本主机的话就会出现下面的输出结果
  linux login: chase
  Password:
  Permission denied
  Connection closed by foreign host.
  
  我们还可以从/var/log/messages得到pam_access的日志,对应上面的情况我们从message得到如下的日志:
  
  Apr 25 12:50:25 linux pam_access[13916]: access denied for user `chase' from `192.168.2.78'
  Apr 25 12:50:25 linux login[13916]: Permission denied
  

来源:http://www.tulaoshi.com/n/20160129/1504993.html

延伸阅读
iPhone6S锁屏怎么访问控制中心?   iPhone6S锁屏怎么访问控制中心?锁屏的时候访tulaoshi问控制中心是一个非常方便的操作,但是需要开启才能访问,下面,就随图老师小编一起来学习以下这篇教程吧! 进入设置界面点击【控制中心】,再打开【在锁屏屏幕上访问】右边开关即可。(如下图) 苹果iPhone6S放大模式怎么设置 &nb...
标签: Web开发
如果你的网站支持移动设备访问,向 Google Webmaster Tools 提交一份 专属sitemap 是很有必要的。(像普通sitemap一样提交即可) 格式如下: ?xml version="1.0" encoding="UTF-8" ? urlset xmlns="http://www.sitemaps.org/schemas/sitemap/0.9"   xmlns:mobile="http://www.google.com...
标签: 文件夹
共享文件夹权限设置方法 先设置自己的电脑共享状态, 计算机-网络-网络和共享中心 -更改高级共享设置,如下显示。 然后弹出页面如下,并进行选择保存。 系统共享设置完成以后,设置要共享的文件夹,如我要共享我的文件夹-个人介绍,右键-属性-共享。 然后弹出页面如下,点击添加选择Everyone。 上步...
标签: 电脑入门
接近年末,再过不久就要回家过年了,但是苹果土豪却有些忧愁,一回到家,自己的本本,肯定是要被一群熊孩子拿去折腾的,面对这种问题应该怎么办呢?这就要涉及到OS X 的访问控制功能了,通过这个功能,我们就可以很好地保护本本中重要的文件和一些私人的东西。 在系统偏好设置中打开家长控制设置。实际上,所谓的家长控制其实就是新建一个...
在win7中怎么禁止访问控制面板   很多用户使用win7旗舰版的时候都不希望自己的电脑借用给起他人,但是在很多情况下都不得不把电脑借给亲戚朋友甚至是同事,那这时候保护自己的电脑不被修改就是最重要的,所以不让借用的朋友通过win7旗舰版的控制面板就是十分直接的一个行为,下面我们来看看在win7旗舰版中怎么禁止访问控制面板。 ...

经验教程

320

收藏

8
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部