Question Comment puis-je bloquer l'accès de certains utilisateurs à Linux uniquement?


Je veux configurer pam de telle sorte que certains de mes utilisateurs ne puissent en utiliser que certains.

Dans RHEL4, j'ai utilisé

/etc/pam.d/su

auth       required     /lib/security/$ISA/pam_stack.so service=system-auth 
auth       sufficient   /lib/security/$ISA/pam_stack.so service=suroot-members 
auth       required     /lib/security/$ISA/pam_deny.so

/etc/pam.d/suroot-members

auth       required     /lib/security/$ISA/pam_wheel.so use_uid group=suroot
auth       required     /lib/security/$ISA/pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/sumembers-access

Avec la configuration ci-dessus, les utilisateurs du groupe suroot ne peuvent prétendre au nom d'utilisateur mentionné dans sumembers-access. Mais avec OEL6, pam_stack.so est obsolète. J'ai essayé de configurer comme ci-dessous, mais cela ne fonctionne pas comme prévu.

/etc/pam.d/su

auth      sufficient  pam_rootok.so
auth      include     system-auth
auth      include     group2-members
auth      include     group1-members
auth      required    pam_deny.so
account   sufficient  pam_succeed_if.so uid = 0 use_uid quiet
account   include     system-auth
password  include     system-auth
session   include     system-auth
session   optional    pam_xauth.so

/etc/pam.d/group2-members

auth required pam_wheel.so use_uid group=group2
auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group2-access

Ci-dessus ne fonctionne pas, tous les utilisateurs peuvent su su à tous. Quelqu'un peut-il dire ce que je fais mal?


3
2018-01-07 11:33


origine


Ne donnez pas à vos utilisateurs les mots de passe des autres comptes et utilisez-les sudo au lieu. - Daniel Beck♦
sudo est une autre option, je suis impatient de vérifier ce que je fais mal. De plus, il s'agit d'un compte partagé oracle et d'autres comptes d'application. - user1116993
sudo -u oracle -s - grawity
@grawity sudo n'est pas une option pour le moment, mais je vérifierai auprès des personnes âgées concernées. - user1116993


Réponses:


J'espère que cela aidera.

# cat /etc/pam.d/su
auth            sufficient      pam_rootok.so
auth            [default=1 success=ok ignore=ignore] pam_wheel.so trust use_uid group=group1
auth            [success=2 default=die] pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group1-access
auth            [default=die success=ok ignore=ignore] pam_wheel.so trust use_uid group=group2
auth            requisite pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group2-access
auth            include system-auth
account              sufficient        pam_succeed_if.so uid = 0 use_uid quiet
account              include                system-auth
password             include                system-auth
session              include                system-auth
session              optional        pam_xauth.so

# cat /etc/security/su-group1-access |egrep -v "^#|^$"
oracle
user

# cat /etc/security/su-group2-access |egrep -v "^#|^$"
root

Réponse originale: utiliser ci-dessous

# cat /etc/pam.d/su |egrep -v "^#|^$"
auth        sufficient  pam_rootok.so
auth        [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup group1
auth        required pam_wheel.so use_uid group=group1
auth        required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group1-access
auth        [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup group2
auth        required pam_wheel.so use_uid group=group2
auth        required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group2-access
auth        include     system-auth
account     sufficient  pam_succeed_if.so uid = 0 use_uid quiet
account     include     system-auth
password    include     system-auth
session     include     system-auth
session     optional    pam_xauth.so

# cat /etc/security/su-group1-access |egrep -v "^#|^$"
oracle
user

# cat /etc/security/su-group2-access |egrep -v "^#|^$"
root

0
2018-03-07 19:14



Cela a du sens et fonctionne parfaitement, mais les utilisateurs qui ne font partie d'aucun groupe (group1, group2) peuvent prétendre à n'importe qui. Comment puis-je configurer les mêmes restrictions, mais si l'utilisateur ne fait partie d'aucun groupe répertorié ci-dessus, il ne devrait être en mesure de le proposer à personne? - user1116993