Mudanças entre as edições de "Como restringir login no Debian"

De Instituto de Física - UFRGS
 
(3 revisões intermediárias por 3 usuários não estão sendo mostradas)
Linha 1: Linha 1:
(Debian 8)
 
 
 
Em <code>/etc/security/access.conf</code>, adicionar:
 
Em <code>/etc/security/access.conf</code>, adicionar:
     -:ALL EXCEPT root [user] ([mygroup]):ALL
+
     + : root : ALL
 +
    + : (mygroup) : ALL
 +
    - : ALL : ALL
  
* Substitua <code>[user]</code> pelo usuario local (para ser possivel fazer login localmente), e <code>[mygroup]</code> pelo grupo permitido a logar.
+
* Substitua <code>mygroup</code> pelo grupo permitido a logar. Isso libera o login do usuário <code>root</code> e de todos os usuários pertencentes ao grupo <code>mygroup</code>, bloqueando todos os outros acessos (ver <code>man access.conf</code> para mais opções de configuração).
  
Adicione esta linha ao INICIO do arquivo <code>/etc/pam.d/common-account</code>:
+
É necessário informar ao PAM que o <code>access.conf</code> deve ser verificado no login. Em /etc/pam.d/ existem vários arquivos do PAM, um para cada serviço do sistema que utiliza autenticação (ssh, telnet, cups, login gráfico, etc). Em cada serviço que se deseja restringir o login, deve ser adicionada a linha
 +
<code>
 
     account required pam_access.so
 
     account required pam_access.so
 +
</code>
 +
 +
Ou seja, se o desejo é restringir acesso do grupo <code>mygroup</code> ao login gráfico e ao ssh, essa linha deve ser adicionada nos arquivos lightdm (ou gdm), login e no arquivo sshd.
  
Isto faz com que apenas <code>root</code>, <code>[user]</code>, e usuarios que pertencem ao grupo <code>[mygroup]</code> possam logar.
+
'''Obs.:''' os arquivos common-* são incluídos em todos os outros arquivos de configuração. Não é uma boa ideia restringir o acesso por eles pois, por exemplo, o usuário gdm (ou lightdm) deve ter permissão de login na máquina para que a interface gráfica seja iniciada. Incluir a restrição no common-* impede que esse usuário faça login, pois ele não estaria no grupo cujo acesso foi permitido. Consequentemente, a interface gráfica não seria iniciada. O método ideal é incluir a restrição em cada serviço.

Edição atual tal como às 17h08min de 15 de janeiro de 2018

Em /etc/security/access.conf, adicionar:

   + : root : ALL
   + : (mygroup) : ALL
   - : ALL : ALL
  • Substitua mygroup pelo grupo permitido a logar. Isso libera o login do usuário root e de todos os usuários pertencentes ao grupo mygroup, bloqueando todos os outros acessos (ver man access.conf para mais opções de configuração).

É necessário informar ao PAM que o access.conf deve ser verificado no login. Em /etc/pam.d/ existem vários arquivos do PAM, um para cada serviço do sistema que utiliza autenticação (ssh, telnet, cups, login gráfico, etc). Em cada serviço que se deseja restringir o login, deve ser adicionada a linha

   account required pam_access.so

Ou seja, se o desejo é restringir acesso do grupo mygroup ao login gráfico e ao ssh, essa linha deve ser adicionada nos arquivos lightdm (ou gdm), login e no arquivo sshd.

Obs.: os arquivos common-* são incluídos em todos os outros arquivos de configuração. Não é uma boa ideia restringir o acesso por eles pois, por exemplo, o usuário gdm (ou lightdm) deve ter permissão de login na máquina para que a interface gráfica seja iniciada. Incluir a restrição no common-* impede que esse usuário faça login, pois ele não estaria no grupo cujo acesso foi permitido. Consequentemente, a interface gráfica não seria iniciada. O método ideal é incluir a restrição em cada serviço.