Ограничение использования консолей: различия между версиями

Материал из ALT Linux Wiki
(Новая страница: «Модуль pam_access обеспечивает управление входом в систему. Этот модуль может использоватьс…»)
 
Нет описания правки
 
Строка 3: Строка 3:
По умолчанию правила управления доступом берутся из файла конфигурации {{path|/etc/security/access.conf}}.
По умолчанию правила управления доступом берутся из файла конфигурации {{path|/etc/security/access.conf}}.


Чтобы ограничить консольный доступ для пользователей/групп с помощью модуля pam_access.so необходимо внести изменения в файл {{path|/etc/security/access.conf}}.
Чтобы ограничить консольный доступ для пользователей с помощью модуля pam_access.so необходимо внести изменения в файл {{path|/etc/security/access.conf}}.
 
{{Note|Чтобы ограничить консольный доступ для пользователей/групп можно также воспользоваться модулем ЦУС [[Alterator-secsetup|Блокировка терминала]].}}
 
{{Note|Формат файла {{path|/etc/security/access.conf}}:
<source lang="text">permission:users:origins</source>
 
* permission — знак «+» (плюс) — предоставление доступа, или знак «-» (минус) — отказ в доступе;
* users — список пользователей или групп пользователей или ключевое слово ALL;
* origins — список TTY (для локального доступа), имен хостов, доменных имен, IP-адресов, ключевое слово ALL или LOCAL. }}


Чтобы ограничить локальный доступ для всех пользователей, кроме пользователя root, следует внести следующие изменения:
Чтобы ограничить локальный доступ для всех пользователей, кроме пользователя root, следует внести следующие изменения:
Строка 19: Строка 28:
Доступ может быть ограничен для группы, содержащей несколько пользователей:
Доступ может быть ограничен для группы, содержащей несколько пользователей:
<source lang="text" highlight="1"># vim /etc/security/access.conf
<source lang="text" highlight="1"># vim /etc/security/access.conf
-:group:tty1 tty2 tty3 tty4 tty5 tty6 localhost</source>
-:group:tty1 tty2 tty3 tty4 tty5 tty6 LOCAL</source>


Далее необходимо сконфигурировать стек PAM для использования модуля pam_access.so для ограничения доступа на основе ограничений, определенных в файле {{path|/etc/security/access.conf}}. Для этого дописать в файл {{path|/etc/pam.d/system-auth-local}} строку <code>account required pam_access.so</code> после строки <code>account required pam_tcb.so</code>:
Далее необходимо сконфигурировать стек PAM для использования модуля pam_access.so для ограничения доступа на основе ограничений, определенных в файле {{path|/etc/security/access.conf}}. Для этого дописать в файл {{path|/etc/pam.d/system-auth-local-only }} строку <code>account required pam_access.so</code> после строки <code>account required pam_tcb.so</code>:
<source lang="text">
<source lang="text">
auth            required        pam_tcb.so shadow fork prefix=$2y$ count=8 nullok
auth            required        pam_tcb.so shadow fork nullok
account        required        pam_tcb.so shadow fork
account        required        pam_tcb.so shadow fork
account        required        pam_access.so
account        required        pam_access.so
password        required        pam_passwdqc.so config=/etc/passwdqc.conf
password        required        pam_passwdqc.so config=/etc/passwdqc.conf
password        required        pam_tcb.so use_authtok shadow fork prefix=$2y$ count=8 nullok write_to=tcb
password        required        pam_tcb.so use_authtok shadow fork nullok write_to=tcb
session        required        pam_tcb.so
session        required        pam_tcb.so</source>
session        required        pam_mktemp.so
session        required        pam_limits.so</source>


Документация:
Документация:

Текущая версия от 13:42, 30 марта 2022

Модуль pam_access обеспечивает управление входом в систему. Этот модуль может использоваться для принятия решения о том, каким пользователям разрешен вход в систему. Так как PAM имеет средства аутентификации по сети, то контролируется не только кто может или не может зайти, но и откуда.

По умолчанию правила управления доступом берутся из файла конфигурации /etc/security/access.conf.

Чтобы ограничить консольный доступ для пользователей с помощью модуля pam_access.so необходимо внести изменения в файл /etc/security/access.conf.

Примечание: Чтобы ограничить консольный доступ для пользователей/групп можно также воспользоваться модулем ЦУС Блокировка терминала.


Примечание: Формат файла /etc/security/access.conf: 
permission:users:origins
  • permission — знак «+» (плюс) — предоставление доступа, или знак «-» (минус) — отказ в доступе;
  • users — список пользователей или групп пользователей или ключевое слово ALL;
  • origins — список TTY (для локального доступа), имен хостов, доменных имен, IP-адресов, ключевое слово ALL или LOCAL.


Чтобы ограничить локальный доступ для всех пользователей, кроме пользователя root, следует внести следующие изменения: 

# vim /etc/security/access.conf
-:ALL EXCEPT root: ALL localhost

Чтобы ограничить доступ для всех пользователей, кроме пользователя root, на всех текстовых консолях следует внести следующие изменения: 

# vim /etc/security/access.conf
-:ALL EXCEPT root: tty2 tty3 tty4 tty5 tty6 localhost

Доступ может быть ограничен для конкретного пользователя: 

# vim /etc/security/access.conf
-:user: tty2 tty3 tty4 tty5 tty6 localhost

Доступ может быть ограничен для группы, содержащей несколько пользователей: 

# vim /etc/security/access.conf
-:group:tty1 tty2 tty3 tty4 tty5 tty6 LOCAL

Далее необходимо сконфигурировать стек PAM для использования модуля pam_access.so для ограничения доступа на основе ограничений, определенных в файле /etc/security/access.conf. Для этого дописать в файл /etc/pam.d/system-auth-local-only строку account required pam_access.so после строки account required pam_tcb.so: 

auth            required        pam_tcb.so shadow fork nullok
account         required        pam_tcb.so shadow fork
account         required        pam_access.so
password        required        pam_passwdqc.so config=/etc/passwdqc.conf
password        required        pam_tcb.so use_authtok shadow fork nullok write_to=tcb
session         required        pam_tcb.so

Документация: 

man access.conf
Системному администратору
AltHa • Apache2 • Api.php • APT в ALT Linux • Azure • BackUp/DayOfDayBackUp • Biarch • BIND • BIND SEC • Bootflash (VirtualBoot) • Capabilities • Changes/rpm • Compact3 (HostingInstallHowto) • Control • Control++ • Control++:Blacklist/Whitelist • CVE-Manager • DDNS • DhcpBind • EC2 • Egroupware • EjabberdJit • Enterprise Software • Etckeeper • Etcnet • Evmctl • Evms inside initrd • Features • Features/ChrootedServices • Firewall • Flussonic • Ganeti • Hadoop • Hbase • High Availability • IKVM • Infiniband • InstallOnFlash • IPMI • Ipmitool • Iptables • IPTV • Участник:IvanZakharyaschev/Что делать, если забыл имена пользователей • Участник:IvanZakharyaschev/Что делать, если забыл пароли (в т.ч. пароль root-а) • Участник:IvanZakharyaschev/Что делать, если затёр загрузчик системы • IvmanAutomount • Jupyter Notebook • LargeFiles • LDAP • Lotus • LXC • Mailman • Mailman and lighttpd • Utf8/MigrateToKoi8 • Migration • Moodle • Motion • MSSQL • Multipath • MultiSeat systemd • Multistation • MySQL • Nagios-plugins-smartmon • Netconsole • NetInstall • Netplan • NextCloud в контейнере • OpenLDAP • OpenNMS • OpenVZ • OpenVZ7 • Oracle10g • OracleALS40 • Starterkits/p7 • Starterkits/p8 • Polkit • Pppoptions • Pptpd • Puppet/Запуск puppetry (пример с libvirt) • PVE • RAID • Replace disk online • RoCE • Roundcube • S5000PAL • Samba • SCOM • Security • SelinuxOff • SerialLogin • SerialPortOverIP • Server Security • SharedTmpfsMaintainance • Sisyphus changes • Sisyphus-mirror • SMART-оповещения через Telegram • SPICE • SQLite • SSD • SSH • Starterkits • SwitchToSisyphus • Sysadmin • Systemd • SystemImager • Sysvinit • Tcb • TeXLivePackaging • UFW • Vargus • VideoMost • Web-cyradm • Wi-fi • WireGuard • Xen • Xymon • Zabbix • Zarafa • Zimbra • ZRAM/ZSWAP • Аутентификация по ключу • Безграничный DNS • Бот Telegram • Восстановление • Выявление сессий по ключу SSH • Двухфакторная аутентификация • Домен на openldap (устаревшее) • Доступ по SSH за NAT через TOR • Загрузочная USB Flash • Загрузочные флешки • Загрузчики • Задачи администратора • Задний ход в DarkWeb • Запрет командной строки • Контейнеры systemd-nspawn • Настройка FTP • Настройка rsync-сервера • НастройкаСервераПриложений • Обновление • Обновление ОС • Оборудование • Ограничение использования консолей • Ограничения интерфейса KDE • Отключение интерактивного входа • Переменные bash • ПроблемыДоступностиРазделов • Программы • Прозрачный прокси-сервер • РазбиениеДиска • Ресолвер • Синхронизация времени • Скачивание расширений Chromium • Таймеры systemd вместо crond • ТестированиеКомпьютера • Управление вентилятором Radeon RX-6xx0 • Управление пакетами • Установка UniFi Controller в контейнер LXC • УчётТрафика • Файловые системы • Шаблоны для развёртывания CT в PVE • Категория:Active Directory • Категория:Alterator • Категория:APT • Категория:Backup • Категория:DhcpBind • Категория:Etcnet • Категория:Features • Категория:FileSystems • Категория:FreeIPA • Категория:High Availability • Категория:Kernel • Категория:LDAP • Категория:Make-initrd • Категория:Monitoring • Категория:MySQL • Категория:Oracle • Категория:Power Management • Категория:Samba • Категория:Systemd • Категория:VPN • Категория:Xen • Категория:ZABBIX • Категория:Автомонтирование • Категория:Виртуализация • Категория:Загрузчики • Категория:Использование оборудования • Категория:Синхронизация времени • Категория:Шрифты