* [Comm] PAM & logins @ 2005-06-13 14:03 Dmytro O. Redchuk 2005-06-13 16:15 ` Dmytro O. Redchuk 0 siblings, 1 reply; 5+ messages in thread From: Dmytro O. Redchuk @ 2005-06-13 14:03 UTC (permalink / raw) To: ALT Community Добрый день. Опять долезло меня потыкаться с PAM'ом :-) Хочу, пользуясь этим делом, указывать, кому откуда можно логиниться. Смотрю /etc/security/access.conf, пробую туда что-то писать. что-то осмысленное, конечно, типа -:fox:ALL EXCEPT tty1 tty2 До лямпочки. Пробую что-то дописывать в /etc/pam.d/login, но тоже ни к чему не приводит (что-то типа session required pam_console.so). К тому же, /etc/pam.d/login -- только 600, мне его читать нельзя, собственно. Поэтому вопрос -- где бы почитать, как этим рулить через /etc/security/access.conf? (Нормально ли, что у /etc/pam.d/login -- такие права доступа?) -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk ^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] PAM & logins 2005-06-13 14:03 [Comm] PAM & logins Dmytro O. Redchuk @ 2005-06-13 16:15 ` Dmytro O. Redchuk 2005-06-13 17:21 ` [Comm] [JT] " Michael Shigorin 0 siblings, 1 reply; 5+ messages in thread From: Dmytro O. Redchuk @ 2005-06-13 16:15 UTC (permalink / raw) To: ALT Community On Mon, Jun 13, 2005 at 05:03:12PM +0300, Dmytro O. Redchuk wrote: > Поэтому вопрос -- где бы почитать, как этим рулить через > /etc/security/access.conf? > (Нормально ли, что у /etc/pam.d/login -- такие права доступа?) Пардон... Всё -- как обычно в *NIXах: всё очень просто, особенно если знаешь *как*. (с) -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk ^ permalink raw reply [flat|nested] 5+ messages in thread
* [Comm] [JT] Re: PAM & logins 2005-06-13 16:15 ` Dmytro O. Redchuk @ 2005-06-13 17:21 ` Michael Shigorin 2005-06-14 5:55 ` [Comm] " Dmytro O. Redchuk 0 siblings, 1 reply; 5+ messages in thread From: Michael Shigorin @ 2005-06-13 17:21 UTC (permalink / raw) To: ALT Community; +Cc: Dmytro O. Redchuk On Mon, Jun 13, 2005 at 07:15:12PM +0300, Dmytro O. Redchuk wrote: > On Mon, Jun 13, 2005 at 05:03:12PM +0300, Dmytro O. Redchuk wrote: > > Поэтому вопрос -- где бы почитать, как этим рулить через > > /etc/security/access.conf? > > (Нормально ли, что у /etc/pam.d/login -- такие права доступа?) > Пардон... Всё -- как обычно в *NIXах: > всё очень просто, особенно если знаешь *как*. (с) . o O ( и когда эти загадочные люди научатся рассказывать... ) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 5+ messages in thread
* [Comm] Re: [JT] Re: PAM & logins 2005-06-13 17:21 ` [Comm] [JT] " Michael Shigorin @ 2005-06-14 5:55 ` Dmytro O. Redchuk 2005-06-14 7:08 ` [Comm] " Michael Shigorin 0 siblings, 1 reply; 5+ messages in thread From: Dmytro O. Redchuk @ 2005-06-14 5:55 UTC (permalink / raw) To: ALT Community; +Cc: Michael Shigorin On Mon, Jun 13, 2005 at 08:21:53PM +0300, Michael Shigorin wrote: > On Mon, Jun 13, 2005 at 07:15:12PM +0300, Dmytro O. Redchuk wrote: > > On Mon, Jun 13, 2005 at 05:03:12PM +0300, Dmytro O. Redchuk wrote: > > > Поэтому вопрос -- где бы почитать, как этим рулить через > > > /etc/security/access.conf? > > > (Нормально ли, что у /etc/pam.d/login -- такие права доступа?) > > Пардон... Всё -- как обычно в *NIXах: > > всё очень просто, особенно если знаешь *как*. (с) > > . o O ( и когда эти загадочные люди научатся рассказывать... ) Напишу. Да чего там :-) ЗАДАЧА Нужно разрешать вход в систему определённым пользователям только с консоли. ПОЛУНАМЁКИ Есть, кстати, /etc/securetty -- в этом файле можно перечислить терминалы ("виртуальные" и "реальные"), с которых можно логиниться рутУ. Просто перечислить, по одному на строке, например: # оттак: tty1 tty6 (root сможет входить только с этих двух). Но интересно, что может PAM в этом смысле. Поскольку упомянутого явно мало. РЕШЕНИЕ Конфигурация описывается в файле /etc/security/access.conf, но нужно ещё догадаться, что модуль называется (как это ни печально, я не сразу это понял) pam_access.so. Чтобы ограничить вход в систему пользователям, скажем, fox и root только с... (а вот тут уже вопрос... См. секцию ВОПРОСЫ) с локальных терминалов, нужно в файле /etc/security/access.conf написать: # можно_или_нет : кому : откуда # # нельзя : руту и фоксу : отовсюду, кроме _локальных_ -:root fox:ALL EXCEPT LOCAL По умолчанию за последней строчкой следует глобальное разрешение, поэтому глобальные запрещения -- если нужно -- следует указывать руками, самостоятельно. Нам это не нужно в этом примере -- мы уже почти добились желаемого. *Почти* -- потому, что нужно прописать pam_access.so: # в файле /etc/pam.d/login: account required pam_access.so *Почти* -- потому, что (это ещё один момент, до которого мне нужно было допереть:o) есть ещё файл /etc/pam.d/sshd, в котором прописаны разрешения/запрещения входа в систему через ssh. Там тоже нужно прописать такое же "account required ...". После этого попытки войти через ssh будут отбиты: Read from remote host 10.0.10.170: Connection reset by peer Connection to 10.0.10.170 closed. (в логе будет:) Jun 14 07:51:52 asterisk sshd[1185]: Accepted publickey for fox from 172.16.0.70 port 32918 ssh2 Jun 14 07:51:52 asterisk pam_access[1184]: access denied for user `fox' from `172.16.0.70' Jun 14 07:51:52 asterisk sshd[1184]: PAM rejected by account configuration[6]: Permission denied но локально мы входить сможем. ВОПРОСЫ Этого я пока не понял: Разные доки и объяснялки говорят, что в поле "откуда" можно перечислять терминалы: -:fox:ALL EXCEPT tty1 tty2 но реально я не могу войти в систему с такой записью. Вообще не получилось добиться результата с какими-либо tty# в этом поле. Другие объяснялки говорят, что "под линуксом, дескать" LOCAL -- это и есть терминалы tty#, но, честно говоря, трудно верить на слово страничке "из гугла". Что по этому поводу ALT?.. И ЧТО ХАРАКТЕРНО Такое использование pam_access.so "работает" с "типами" account и password, но не работает с типами auth и session. Я слишком мало знаю про PAM, чтобы это как-то осмыслить :-) > > -- > ---- WBR, Michael Shigorin <mike@altlinux.ru> > ------ Linux.Kiev http://www.linux.kiev.ua/ -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk ^ permalink raw reply [flat|nested] 5+ messages in thread
* [Comm] Re: PAM & logins 2005-06-14 5:55 ` [Comm] " Dmytro O. Redchuk @ 2005-06-14 7:08 ` Michael Shigorin 0 siblings, 0 replies; 5+ messages in thread From: Michael Shigorin @ 2005-06-14 7:08 UTC (permalink / raw) To: ALT Community; +Cc: docs On Tue, Jun 14, 2005 at 08:55:59AM +0300, Dmytro O. Redchuk wrote: > > > > Поэтому вопрос -- где бы почитать, как этим рулить через > > > > /etc/security/access.conf? > > > > (Нормально ли, что у /etc/pam.d/login -- такие права доступа?) > > > Пардон... Всё -- как обычно в *NIXах: > > > всё очень просто, особенно если знаешь *как*. (с) > > . o O ( и когда эти загадочные люди научатся рассказывать... ) > Напишу. Да чего там :-) Ого. Респект. http://faq.altlinux.ru/index.php?action=single&nf=1&qid=697 -- а если не подковыривать? :) ^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2005-06-14 7:08 UTC | newest] Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2005-06-13 14:03 [Comm] PAM & logins Dmytro O. Redchuk 2005-06-13 16:15 ` Dmytro O. Redchuk 2005-06-13 17:21 ` [Comm] [JT] " Michael Shigorin 2005-06-14 5:55 ` [Comm] " Dmytro O. Redchuk 2005-06-14 7:08 ` [Comm] " Michael Shigorin
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git