Re: Login/Authentifizierung nur an lokaler virtueller console?

[Thomas Stiefel <Tom@xxxxxxx>]

Hallo zusammen,

Am 07.01.2012 14:41, schrieb Markus Hochholdinger:
> Hi Raphael,
> 
> Am 07.01.2012 um 12:55 Uhr schrieb Raphael Eiselstein<rabe@xxxxxxxxx>:
> > ich will fuer einen Server einen "local admin" Account einrichten. Der
> > Login soll nur ueber eine lokale (virtuelle) Konsole moeglich sein, also
> > zB USB Tastatur/VGA Konsole.
> > Ziel ist es, im Falle einer "Remote Hands"-Situation einem Helfer vor
> > Ort telefonisch den Zugang zum System zu ermoeglichen. Der eingeloggte
> > Benutzer soll diverse Standard-Tasks ausfuehren koennen, zB mittels sudo.
> > Mit welchem - vermutlich auf PAM basierenden Mechanismus - kann man
> > sowas bauen, dass der Login fuer einen bestimmten Benutzer zB *nur* auf
> > /dev/tty1 moeglich ist?
> ich hatte das vor laengerer Zeit mal ueber Gruppenzugehoerigkeit umgesetzt:
> 
> Datei /etc/pam.d/login:
> [..]
> auth    required        pam_listfile.so item=group \
>    sense=allow file=/etc/pam.d/login-groups
> [..]
> 
> In /etc/pam.d/login-groups stehen dann Gruppennamen, pro Zeile einer.
> 
> Je nach Anwendungsfall kann man das auch negiert verwenden, mit "sense=deny".
> 
Naja, wenn ich das richtig verstehe, dann erlaubt oder verweigert man damit
allerdings einer Gruppe den Zugriff generell. Was ich bei Tests allerdings
nicht nachstellen konnte. Muss da noch irgendwas neu gestartet werden?

Wenn man davon ausgeht, dass man auf den Rechner entweder lokal an der Konsole
oder Remote per SSH zugriefen kann, dann wuerde es genuegen den SSH-Zugriff zu
begrenzen. Dafuer wuerde einer der beiden folgenden Eintraege in der
/etc/ssh/sshd_config genuegen:

AllowUsers root tom
AllowGroups admins

Der lokale Admin-User admin haette dann keinen Zugriff per SSH und koennte sich
nur lokal anmelden.

Gruss Tom

-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/