当前位置: 王朝网络 >> other >> 使用pam来支持login的访问控制

使用pam来支持login的访问控制

王朝other·作者佚名 2008-05-18

这里我们需要使用pam_access。pam_access是pam中处理用户访问控制的模块，没有使用pam前，linux对用户的所有访问控制都是借助hosts.allow, hosts.deny文件，实现所有服务的访问控制，再加上usertty就是对用户登陆控制(专门是针对login)。但是，随着pam的应用，usertty已经不再使用了，虽然login的man里还会提到。

现在我们看看如何利用pam_access对个别用户进行登陆访问控制(对所有使用login的都有效)，首先，我们需要的是访问控制的配置文件，这个文件在/etc/security/access.conf。整个文件的格式都是: 权限:用户(可多个并用空格隔开):源访问点。下面对每个区域简单说明：

权限(permission) 这一位可以是+/-。其中+表示允许访问，-表示禁止访问；

用户(users) 这是指定用户名，用户组名或网络用户组名，指定的是多个要用空格隔开。对于指定网络用户组名时，网络用户组名应指定用户组所在的源访问点并用@和用户组名分开。除此以外，还可以用ALL指定所有的和EXCEPT指定特殊例外的用户。

源访问点(Origins) 这是指定用户域中原访问点。这里可指定用户访问的ttyname，hostname，domainname或ip。其中domainname是指以.开头的主机名，例如，.downsky.net就是指定downsky.net这个域。在这里可以使用ALL和EXCEPT的关键字，也也指定LOCAL。

下面我们看看一些例子，如果你先限制一些用户在某些主机的登陆权限，我们提供登陆服务的主机叫linux,下面我们看看access.conf的配置情况：

1. # access.conf file

2. -:ALL:.foo.com .hacker.org

3. -:ALL EXCEPT root: tty1

4. +:ALL EXCEPT root:192.168.1.

5. +:root user:.downsky.net

6. -:chase:192.168.2.

7. -:ALL:ALL

从以上的配置文件可以看到，第二行拒绝所有从域名.foo.com和.hacker.org的登陆访问；第三行拒绝除root以外的用户从控制台登录访问；第四行允许除root外所有的用户从192.168.1.的网段登录访问。第五行允许root和user用户组中的成员从downsky.net登录访问。第六行拒绝用户chase从192.168.2网段的登录访问，第七行拒绝其它的登录访问...

现在我们只要在/etc/pam.d/login的文件里加上下面一行

account required /lib/security/pam_access.so

就可以使login使用pam_access来对用户进行登陆访问控制了。整个login的文件如下

auth requisite /lib/security/pam_unix.so nullok #set_secrpc

auth required /lib/security/pam_securetty.so

auth required /lib/security/pam_nologin.so

#auth required /lib/security/pam_homecheck.so

auth required /lib/security/pam_env.so

auth required /lib/security/pam_mail.so

account required /lib/security/pam_unix.so

account required /lib/security/pam_access.so

password required /lib/security/pam_pwcheck.so nullok