Re: Login/Authentifizierung nur an lokaler virtueller console?

[Thomas Stiefel <Tom@xxxxxxx>]

Am 07.01.2012 18:02, schrieb Raphael Eiselstein:
> Ja, da habe ich das mit "item=tty" her. Entweder hab ich unaufmerksam
> gelesen oder die manpage beantwortet mir nicht, wie ich fuer einen user
> oder eine gruppe *zusaetzlich* item=tty anwenden kann, also als
> zusaetzliche Bedingung nur fuer die erste Regel.
> 
Wenn ich die Manpage richtig verstehe, dann kannst Du mit item nur auf User,
Gruppe *oder* TTY pruefen und nicht mehrere (z. B. als OR).
Somit kann man - nach meinem Verstaendnis - durch eine solche Pruefung
"item=tty" auch nur den Login an der Konsole komplett *fuer alle User* erlauben
oder verweigern!

> Meine Frage zielte also nur darauf ab, wie ich die erstmal vollstaendig
> unabhaengige Anforderung "darf sich nur an tty1 anmelden" nicht mit
> "weiss nicht, aber ich mach schonmal ssh dicht, weil ich da da weiss,
> wie es geht" umschiffen wollte.
> 
> Und weil ich annehme, dass auf modernen Systemen alles, was
> Benutzerauthentifizierung macht ueber PAM geht, waere es fuer mich der
> logischere Ort dieses in PAM zentral zu konfigurieren.
> 
Ich kenne solche Restriktionen eigentlich immer nur fuer Root und nicht
konfigurierbar fuer irgendwelche User. Ich glaube auch kaum, dass es auf
User-Basis auf die Anmeldung am TTY1 zu beschraenken ist, aber ich lasse mich
gerne eines besseren belehren.

Ich wuensche dir dennoch viel Erfolg bei deinen weiteren Recherchen und Tests.

> Mein Ansatz ist: "Alles auf default, nur eine zusaetzliche Beschraenkung
> an zentraler Stelle".
> 
Das sehe ich genauso, denn wer weiss schon was man sich sonst fuer Probleme
einhandelt ;-)

Gruss Tom

-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/