cómo controlar el inicio de sesión de los usuarios en la máquina Linux de acuerdo con el archivo de configuración

3

Uso el PAM para autenticar el inicio de sesión de los usuarios

información de - http://linux.die.net/man/8/pam_listfile

en mi máquina Linux red-hat tengo 5 usuarios diff

user1
user2
user3
user4
user5

Quiero habilitar el inicio de sesión ssh solo para los primeros tres usuarios

entonces

Creé el archivo

more /etc/logins_users.txt

user1
user2
user3

y agrego al archivo /etc/pam.d/sshd lo siguiente

   auth required pam_listfile.so item=user onerr=fail sense=allow file=/etc/logins_user.txt

Reinicio el servicio sshd

pero user4 y user5 siguen tienen acceso a la máquina Linux a pesar de que no se definen en el archivo logins_users.txt

¿Qué hay de malo en mi configuración?

¿Por user4 y User5 seguir teniendo acceso de inicio de sesión ssh a pesar de que se bloquean ???

maihabunash
fuente

Respuestas:

1

No hay nada malo en su configuración.

Escriba su configuración en la primera línea de /etc/pam.d/sshdesta manera

#% PAM-1.0
se requiere autenticación pam_listfile.so item = usuario onerr = fail sense = permitir archivo = / etc / logins_user.txt
se requiere autenticación pam_sepermit.so
auth incluye contraseña-auth
cuenta requerida pam_nologin.so
cuenta incluye contraseña-autenticación
contraseña incluye contraseña-autenticación
# pam_selinux.so debería ser la regla de la primera sesión
se requiere sesión pam_selinux.so cerrar
se requiere sesión pam_loginuid.so
# pam_selinux.so open solo debe ser seguido por sesiones que se ejecuten en el contexto del usuario
se requiere sesión pam_selinux.so abrir env_params
sesión opcional pam_keyinit.so forzar revocación
sesión incluye contraseña-autenticación

Esto se debe a que PAM verificará todas estas configuraciones línea por línea, si coloca su configuración en la última línea, pasará cualquier otra condición antes de verificar su condición. Es por eso que todos los usuarios pueden iniciar sesión. Mira esto y avísame.

Ten cuidado al intentar esto

Antes de cambiar cualquier cosa, haga una copia de seguridad del archivo.

si configuras así

se requiere autenticación pam_listfile.so item = usuario onerr = fail sense = permitir archivo = / etc / logins_user.txt
auth incluye contraseña-auth
cuenta requerida pam_nologin.so
.
.
sesión incluye contraseña-autenticación

Y la condición falla aún, PAM verificará las reglas de reimpresión.

si configuras así

auth requisito pam_listfile.so item = usuario onerr = fail sense = permitir archivo = / etc / logins_user.txt
auth incluye contraseña-auth
cuenta requerida pam_nologin.so
.
.
sesión incluye contraseña-autenticación

Y la condición anterior falla, PAM no verificará las reglas de continuación.

necesario

Failure also results in denial of authentication, although PAM will still call all the other modules listed for this service before denying authentication. 

requisito

Failure to authenticate via this module results in immediate denial of authentication. 

Entonces, en su caso, puede estar por debajo de la condición dando permiso

auth incluye contraseña-auth

Está ingresando la contraseña correcta mientras ssh.

max
fuente