The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Использование login.access в FreeBSD 5.x и 6.x
В FreBSD есть прекрасная возможность разрешать логинится конкретным пользователям 
только с определённых терминалов или адресов. Делается это посредством модуля pam_acct_mgmt. 

Для этого редактируем файл /etc/login.access:

   -:root:ALL #запрещаем любые логины root
   -:ALL:ttyv0 # первая консоль только для логов
   +:dm:ttyv1 ttyv2 ttyv3 ttyv4 ttyv5 ttyv6 ttyv7 ttyv8 # доступ с консоли
   +:dm:10.1.1.1 192.168.6.100 # доступ по сети(тут указывать либо ip, либо 
        # доменное имя. Для ssh рекомендую UseDNS no в /etc/ssh/sshd_config)
   -:ALL:ALL # всё остальное запрещено

ВАЖНО! начиная с версии 5.2 su стал проверять "target user" по login.access, те
при таких настройках
можно будет залогинится, но su не будет работать - pam_login_access: 
   pam_sm_acct_mgmt: root is not allowed to log in on /dev/ttyp3 su: Sorry. 

Для исправления надо редактировать /etc/pam.d/su:

   account
   #account                include         system #закомментировать
   account         required        pam_unix.so # добавить
 
30.11.2005 , Автор: 135all
Ключи: freebsd, limit, pam / Лицензия: CC-BY
Раздел:    Корень / Безопасность / Шифрование, PGP

 Добавить комментарий
Имя:
E-Mail:
Заголовок:
Текст:




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру