Como fazer o RHEL olhar o access.conf para o su -?

2

Eu uso o arquivo /etc/security/access.conf para ditar quais usuários têm acesso ao servidor:

+ : root : LOCAL
+ : user1 : ALL
+ : user2 : ALL
+ : user3 : ALL
- : ALL : ALL

Isso funciona bem para novas sessões SSH. Somente esses 3 usuários têm acesso ao servidor via SSH. Infelizmente, após o login, eles podem usar su - para alternar para todos os outros usuários.

Como posso fazer com que su - também preste atenção no arquivo /etc/security/access.conf , de forma que user1 / 2/3 sejam os únicos usuários que podem realmente ser usados via SSH?

    
por ujjain 19.09.2013 / 22:54

3 respostas

2

How can I make su - also pay attention to the /etc/security/access.conf

Você precisa adicionar a seguinte entrada em /etc/pam.d/su , para usar /etc/security/access.conf para su -

session required pam_access.so

Homem pam_access

The pam_access PAM module is mainly for access management. It provides logdaemon style login access control based on login names, host or domain names, internet addresses or network numbers, or on terminal line names in case of non-networked logins.

By default rules for access management are taken from config file /etc/security/access.conf if you don't specify another file

    
por 19.09.2013 / 23:26
0

How can I make su - also pay attention to the /etc/security/access.conf file so that user1/2/3 are the only users that can actually be used via SSH?

su está realmente prestando atenção em seu /etc/security/access.conf . O problema é que, assim que esses usuários abriram um shell depois de fazer login via SSH, eles são de fato locais. Apenas o fato de que eles estão usando o SSH para acessar a máquina não faz com que suas sessões sejam diferentes de um login local em um TTY.

Eu não acho que você possa ou deva impedir que eles executem su . Claro, você poderia tentar limitar as permissões de leitura / execução para su para impedi-las de executá-las, mas isso provavelmente quebrará as coisas.

    
por 19.09.2013 / 23:04
0

Você pode tentar este método que emprega o uso do grupo wheel .

  1. Adicionar usuário ao grupo de rodas

    $ sudo usermod -G wheel user1
    
  2. Edite o arquivo pam su

    $ sudo  vim /etc/pam.d/su
    
  3. Torne esta linha parecida com uma das seguintes

    auth required /lib/security/pam_wheel.so use_uid
    
    -or-
    
    auth required pam_wheel.so use_uid
    

Exemplo

No meu sistema Fedora 14, o arquivo /etc/pam.d/su foi assim:

# Uncomment the following line to require a user to be in the "wheel" group.
#auth       required    pam_wheel.so use_uid

Por isso, basta remover o comentário da linha para que apenas os usuários no grupo wheel pudessem acessar o comando su .

você deveria fazer isso?

Eu provavelmente encorajaria você a não fazer dessa maneira. Você pode explorar o uso de sudo se os usuários precisarem se tornar outros usuários.

    
por 19.09.2013 / 23:20

Tags