Wie kann ich den Zugriff auf einige Benutzer nur in Linux blockieren?

8760
user1116993

Ich möchte pAM so konfigurieren, dass meine Benutzer nur einigen Benutzern Zugriff haben.

In RHEL4 habe ich verwendet

/etc/pam.d/su

auth required /lib/security/$ISA/pam_stack.so service=system-auth  auth sufficient /lib/security/$ISA/pam_stack.so service=suroot-members  auth required /lib/security/$ISA/pam_deny.so

/etc/pam.d/suroot-members

auth required /lib/security/$ISA/pam_wheel.so use_uid group=suroot auth required /lib/security/$ISA/pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/sumembers-access

Mit der obigen Konfiguration können Benutzer in der Gruppe suroot nur den in sumembers-access genannten Benutzernamen verwenden. Bei OEL6 ist pam_stack.so jedoch veraltet. Ich habe die Konfiguration wie unten versucht, aber es funktioniert nicht wie erwartet.

/etc/pam.d/su

auth sufficient pam_rootok.so auth include system-auth auth include group2-members auth include group1-members auth required pam_deny.so account sufficient pam_succeed_if.so uid = 0 use_uid quiet account include system-auth password include system-auth session include system-auth session optional pam_xauth.so

/etc/pam.d/group2-members

auth required pam_wheel.so use_uid group=group2 auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group2-access

Oben funktioniert nicht, alle Benutzer können sich an alle wenden. Kann jemand sagen, was ich falsch mache?

3
Geben Sie Ihren Benutzern nicht die Passwörter der anderen Konten und verwenden Sie stattdessen `sudo`. Daniel Beck vor 12 Jahren 3
Sudo ist eine weitere Option, ich freue mich darauf zu sehen, was mi falsch macht. Außerdem handelt es sich dabei um Shared Account Oracle oder andere Anwendungskonten. user1116993 vor 12 Jahren 0
`sudo -u oracle -s` grawity vor 12 Jahren 2
@Grawity Sudo ist im Moment keine Option, aber ich werde mit betroffenen Senioren nachsehen. user1116993 vor 12 Jahren 0

1 Antwort auf die Frage

0
atolani

Hoffe das wird helfen.

# cat /etc/pam.d/su auth sufficient pam_rootok.so auth [default=1 success=ok ignore=ignore] pam_wheel.so trust use_uid group=group1 auth [success=2 default=die] pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group1-access auth [default=die success=ok ignore=ignore] pam_wheel.so trust use_uid group=group2 auth requisite pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group2-access auth include system-auth account sufficient pam_succeed_if.so uid = 0 use_uid quiet account include system-auth password include system-auth session include system-auth session optional pam_xauth.so  # cat /etc/security/su-group1-access |egrep -v "^#|^$" oracle user  # cat /etc/security/su-group2-access |egrep -v "^#|^$" root

Ursprüngliche Antwort: Verwenden Sie unten

# cat /etc/pam.d/su |egrep -v "^#|^$" auth sufficient pam_rootok.so auth [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup group1 auth required pam_wheel.so use_uid group=group1 auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group1-access auth [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup group2 auth required pam_wheel.so use_uid group=group2 auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/su-group2-access auth include system-auth account sufficient pam_succeed_if.so uid = 0 use_uid quiet account include system-auth password include system-auth session include system-auth session optional pam_xauth.so  # cat /etc/security/su-group1-access |egrep -v "^#|^$" oracle user  # cat /etc/security/su-group2-access |egrep -v "^#|^$" root
Das macht Sinn und hat perfekt funktioniert. Aber Benutzer, die keiner Gruppe angehören (Gruppe1, Gruppe2), können sich an alle wenden. Wie kann ich dieselben Einschränkungen konfigurieren, aber wenn der Benutzer nicht Teil einer der oben aufgelisteten Gruppen ist, sollte er für niemanden geeignet sein? user1116993 vor 12 Jahren 0

Verwandte Probleme