81.1.1. Настройка ограничения в ЦУС
Модуль
Центра управления системой Блокировка терминала позволяет ограничить определенным пользователям возможность использования определенных TTY. Модуль является интерфейсом для файла конфигурации
/etc/security/access.conf
.
Для включения модуля необходимо установить отметку в поле возможность блокировки включена.
Для каждого отдельного пользователя системы можно заблокировать любые необходимые TTY, для этого в окне Список TTY необходимо отметить консоли, которые должны быть заблокированы для данного пользователя, перенести их в окно Заблокированные TTY и нажать кнопку Применить:
81.1.2. Настройка ограничения в консоли
Чтобы ограничить консольный доступ для пользователей/групп с помощью модуля pam_access.so необходимо внести изменения в файл /etc/security/access.conf
.
Формат файла
/etc/security/access.conf
:
permission:users:origins
где
permission — знак «+» (плюс) — предоставление доступа, или знак «-» (минус) — отказ в доступе;
users — список пользователей или групп пользователей или ключевое слово ALL;
origins — список TTY (для локального доступа), имен хостов, доменных имен, IP-адресов, ключевое слово ALL или LOCAL.
Чтобы ограничить доступ для всех пользователей, кроме пользователя root, следует внести следующие изменения:
# vim /etc/security/access.conf
-:ALL EXCEPT root: tty2 tty3 tty4 tty5 tty6
Доступ может быть ограничен для конкретного пользователя:
# vim /etc/security/access.conf
-:user: tty2 tty3 tty4 tty5 tty6
Доступ может быть ограничен для группы, содержащей несколько пользователей:
# vim /etc/security/access.conf
-:group: LOCAL
Далее необходимо сконфигурировать стек PAM для использования модуля pam_access.so для ограничения доступа на основе ограничений, определенных в файле
/etc/security/access.conf
. Для этого дописать в файл
/etc/pam.d/system-auth-local-only
строку account required pam_access.so после строки account required pam_tcb.so:
auth required pam_tcb.so shadow fork nullok
account required pam_tcb.so shadow fork
account required pam_access.so
password required pam_passwdqc.so config=/etc/passwdqc.conf
password required pam_tcb.so use_authtok shadow fork nullok write_to=tcb
session required pam_tcb.so