[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Login/Authentifizierung nur an lokaler virtueller console?

Subject: Re: Login/Authentifizierung nur an lokaler virtueller console?
From: Markus Hochholdinger <Markus@xxxxxxxxxxxxxxxxx>
Date: Sat, 7 Jan 2012 17:37:19 +0100
To: uugrn@xxxxxxxxxxxxxxx

Hi,

Am 07.01.2012 um 16:05 Uhr schrieb Thomas Stiefel <Tom@xxxxxxx>:
> Am 07.01.2012 14:41, schrieb Markus Hochholdinger:
> > Am 07.01.2012 um 12:55 Uhr schrieb Raphael Eiselstein<rabe@xxxxxxxxx>:
[..]
> > [..]
> > auth    required        pam_listfile.so item=group \
> >    sense=allow file=/etc/pam.d/login-groups
> > [..]
> > In /etc/pam.d/login-groups stehen dann Gruppennamen, pro Zeile einer.
> > Je nach Anwendungsfall kann man das auch negiert verwenden, mit
> > "sense=deny".
> Naja, wenn ich das richtig verstehe, dann erlaubt oder verweigert man
> damit allerdings einer Gruppe den Zugriff generell.

ja, genau.


> Was ich bei Tests
> allerdings nicht nachstellen konnte. Muss da noch irgendwas neu
> gestartet werden?

Nein, es sollte nichts neugestartet werden muessen! Aber ein gern gesehener 
Fehler ist, dass ssh mit authorized_keys kein pam-auth verwendet und damit 
diese Regel dann nicht zieht, wenn man es in sshd eintraegt und der 
entsprechende Benutzer authorized_keys verwendet.


> Wenn man davon ausgeht, dass man auf den Rechner entweder lokal an der
> Konsole oder Remote per SSH zugriefen kann, dann wuerde es genuegen den
> SSH-Zugriff zu begrenzen. Dafuer wuerde einer der beiden folgenden
> Eintraege in der /etc/ssh/sshd_config genuegen:
> AllowUsers root tom
> AllowGroups admins
> Der lokale Admin-User admin haette dann keinen Zugriff per SSH und koennte
> sich nur lokal anmelden.

Das ist natuerlich die richtige Loesung wenn man nur den ssh-Zugriff abstellen 
will. Vielleicht fuer Raphaels Fall sogar einfacher und uebersichtlicher, wenn 
es denn den Anforderungen entspricht.


-- 
Gruss
                                                          \|/
       eMHa                                              (o o)
------------------------------------------------------oOO--U--OOo--
 Markus Hochholdinger
 e-mail  mailto:Markus@xxxxxxxxxxxxxxxxx             .oooO
 www     http://www.hochholdinger.net                (   )   Oooo.
------------------------------------------------------\ (----(   )-
Ich will die Welt veraendern,                           \_)    ) /
aber Gott gibt mir den Quelltext nicht!                      (_/



-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/