[Comm] PAM & logins

ALT Linux Community general discussions
 help / color / mirror / Atom feed

* [Comm] PAM & logins
@ 2005-06-13 14:03 Dmytro O. Redchuk
  2005-06-13 16:15 ` Dmytro O. Redchuk
  0 siblings, 1 reply; 5+ messages in thread
From: Dmytro O. Redchuk @ 2005-06-13 14:03 UTC (permalink / raw)
  To: ALT Community

Добрый день.

   Опять долезло меня потыкаться с PAM'ом :-)

   Хочу, пользуясь этим делом, указывать, кому откуда можно логиниться.

   Смотрю /etc/security/access.conf, пробую туда что-то писать. что-то
   осмысленное, конечно, типа
      -:fox:ALL EXCEPT tty1 tty2

   До лямпочки.

   Пробую что-то дописывать в /etc/pam.d/login, но тоже ни к чему не
   приводит (что-то типа session required pam_console.so).

   К тому же, /etc/pam.d/login -- только 600, мне его читать нельзя,
   собственно.

   Поэтому вопрос -- где бы почитать, как этим рулить через
   /etc/security/access.conf?
   (Нормально ли, что у /etc/pam.d/login -- такие права доступа?)

-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk

^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Comm] PAM & logins
  2005-06-13 14:03 [Comm] PAM & logins Dmytro O. Redchuk
@ 2005-06-13 16:15 ` Dmytro O. Redchuk
  2005-06-13 17:21   ` [Comm] [JT] " Michael Shigorin
  0 siblings, 1 reply; 5+ messages in thread
From: Dmytro O. Redchuk @ 2005-06-13 16:15 UTC (permalink / raw)
  To: ALT Community

On Mon, Jun 13, 2005 at 05:03:12PM +0300, Dmytro O. Redchuk wrote:
>    Поэтому вопрос -- где бы почитать, как этим рулить через
>    /etc/security/access.conf?
>    (Нормально ли, что у /etc/pam.d/login -- такие права доступа?)

   Пардон...

   Всё -- как обычно в *NIXах:
   	всё очень просто, особенно если знаешь *как*. (с)

-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk



^ permalink raw reply	[flat|nested] 5+ messages in thread

* [Comm] [JT] Re: PAM & logins
  2005-06-13 16:15 ` Dmytro O. Redchuk
@ 2005-06-13 17:21   ` Michael Shigorin
  2005-06-14  5:55     ` [Comm] " Dmytro O. Redchuk
  0 siblings, 1 reply; 5+ messages in thread
From: Michael Shigorin @ 2005-06-13 17:21 UTC (permalink / raw)
  To: ALT Community; +Cc: Dmytro O. Redchuk

On Mon, Jun 13, 2005 at 07:15:12PM +0300, Dmytro O. Redchuk wrote:
> On Mon, Jun 13, 2005 at 05:03:12PM +0300, Dmytro O. Redchuk wrote:
> >    Поэтому вопрос -- где бы почитать, как этим рулить через
> >    /etc/security/access.conf?
> >    (Нормально ли, что у /etc/pam.d/login -- такие права доступа?)
>    Пардон...  Всё -- как обычно в *NIXах:
>    	всё очень просто, особенно если знаешь *как*. (с)

. o O ( и когда эти загадочные люди научатся рассказывать... )

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 5+ messages in thread

* [Comm] Re: [JT] Re: PAM & logins
  2005-06-13 17:21   ` [Comm] [JT] " Michael Shigorin
@ 2005-06-14  5:55     ` Dmytro O. Redchuk
  2005-06-14  7:08       ` [Comm] " Michael Shigorin
  0 siblings, 1 reply; 5+ messages in thread
From: Dmytro O. Redchuk @ 2005-06-14  5:55 UTC (permalink / raw)
  To: ALT Community; +Cc: Michael Shigorin

On Mon, Jun 13, 2005 at 08:21:53PM +0300, Michael Shigorin wrote:
> On Mon, Jun 13, 2005 at 07:15:12PM +0300, Dmytro O. Redchuk wrote:
> > On Mon, Jun 13, 2005 at 05:03:12PM +0300, Dmytro O. Redchuk wrote:
> > >    Поэтому вопрос -- где бы почитать, как этим рулить через
> > >    /etc/security/access.conf?
> > >    (Нормально ли, что у /etc/pam.d/login -- такие права доступа?)
> >    Пардон...  Всё -- как обычно в *NIXах:
> >    	всё очень просто, особенно если знаешь *как*. (с)
> 
> . o O ( и когда эти загадочные люди научатся рассказывать... )
Напишу.

Да чего там :-)

ЗАДАЧА
   Нужно разрешать вход в систему определённым пользователям только с
   консоли.

ПОЛУНАМЁКИ
   Есть, кстати, /etc/securetty -- в этом файле можно перечислить
   терминалы ("виртуальные" и "реальные"), с которых можно логиниться
   рутУ. Просто перечислить, по одному на строке, например:
     # оттак:
     tty1
     tty6
   (root сможет входить только с этих двух).

   Но интересно, что может PAM в этом смысле. Поскольку упомянутого явно
   мало.

РЕШЕНИЕ
   Конфигурация описывается в файле /etc/security/access.conf, но нужно
   ещё догадаться, что модуль называется (как это ни печально, я не сразу
   это понял) pam_access.so.

   Чтобы ограничить вход в систему пользователям, скажем, fox и root
   только с... (а вот тут уже вопрос... См. секцию ВОПРОСЫ) с локальных
   терминалов, нужно в файле /etc/security/access.conf написать:
      # можно_или_нет : кому : откуда
      #
      # нельзя : руту и фоксу : отовсюду, кроме _локальных_
      -:root fox:ALL EXCEPT LOCAL

   По умолчанию за последней строчкой следует глобальное разрешение,
   поэтому глобальные запрещения -- если нужно -- следует указывать
   руками, самостоятельно. Нам это не нужно в этом примере -- мы уже почти
   добились желаемого.

   *Почти* -- потому, что нужно прописать pam_access.so:
      # в файле /etc/pam.d/login:
      account	required	pam_access.so

   *Почти* -- потому, что (это ещё один момент, до которого мне нужно было
   допереть:o) есть ещё файл /etc/pam.d/sshd, в котором прописаны
   разрешения/запрещения входа в систему через ssh. Там тоже нужно
   прописать такое же "account required ...". После этого попытки войти
   через ssh будут отбиты:
      Read from remote host 10.0.10.170: Connection reset by peer
      Connection to 10.0.10.170 closed.
   (в логе будет:)
      Jun 14 07:51:52 asterisk sshd[1185]: Accepted publickey for fox from 172.16.0.70 port 32918 ssh2
      Jun 14 07:51:52 asterisk pam_access[1184]: access denied for user `fox' from `172.16.0.70'
      Jun 14 07:51:52 asterisk sshd[1184]: PAM rejected by account configuration[6]: Permission denied
      
   но локально мы входить сможем.

ВОПРОСЫ
   Этого я пока не понял:
   Разные доки и объяснялки говорят, что в поле "откуда" можно перечислять
   терминалы:
      -:fox:ALL EXCEPT tty1 tty2
   но реально я не могу войти в систему с такой записью. Вообще не
   получилось добиться результата с какими-либо tty# в этом поле.

   Другие объяснялки говорят, что "под линуксом, дескать" LOCAL -- это и
   есть терминалы tty#, но, честно говоря, трудно верить на слово
   страничке "из гугла". Что по этому поводу ALT?..

И ЧТО ХАРАКТЕРНО
   Такое использование pam_access.so "работает" с "типами" account и
   password, но не работает с типами auth и session. Я слишком мало знаю
   про PAM, чтобы это как-то осмыслить :-)

> 
> -- 
>  ---- WBR, Michael Shigorin <mike@altlinux.ru>
>   ------ Linux.Kiev http://www.linux.kiev.ua/

-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk



^ permalink raw reply	[flat|nested] 5+ messages in thread

* [Comm] Re: PAM & logins
  2005-06-14  5:55     ` [Comm] " Dmytro O. Redchuk
@ 2005-06-14  7:08       ` Michael Shigorin
  0 siblings, 0 replies; 5+ messages in thread
From: Michael Shigorin @ 2005-06-14  7:08 UTC (permalink / raw)
  To: ALT Community; +Cc: docs

On Tue, Jun 14, 2005 at 08:55:59AM +0300, Dmytro O. Redchuk wrote:
> > > >    Поэтому вопрос -- где бы почитать, как этим рулить через
> > > >    /etc/security/access.conf?
> > > >    (Нормально ли, что у /etc/pam.d/login -- такие права доступа?)
> > >    Пардон...  Всё -- как обычно в *NIXах:
> > >    	всё очень просто, особенно если знаешь *как*. (с)
> > . o O ( и когда эти загадочные люди научатся рассказывать... )
> Напишу.  Да чего там :-)

Ого.  Респект.

http://faq.altlinux.ru/index.php?action=single&nf=1&qid=697

-- 
а если не подковыривать? :)


^ permalink raw reply	[flat|nested] 5+ messages in thread

end of thread, other threads:[~2005-06-14  7:08 UTC | newest]

Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-06-13 14:03 [Comm] PAM & logins Dmytro O. Redchuk
2005-06-13 16:15 ` Dmytro O. Redchuk
2005-06-13 17:21   ` [Comm] [JT] " Michael Shigorin
2005-06-14  5:55     ` [Comm] " Dmytro O. Redchuk
2005-06-14  7:08       ` [Comm] " Michael Shigorin

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git