[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux-team] La *BELLE* soluce de "login interdit/su ok"
Marrant. J'utilise RedHat 6.0 et je n'ai pas de page man pour login.access. J'ai essaye tout de meme et ca ne marche pas.
Je viens de trouver une belle soluce avec PAM. Bien Linux et tout et tout.
Il faut updater le fichier /etc/pam.d/login de facon a ajouter la ligne
auth required /lib/security/pam_listfile.so onerr=fail item=user sense
=deny file=/etc/fred.db
Le fichier devient (apres modification de mon fichier par defaut):
#%PAM-1.0
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_pwdb.so shadow nullok
auth required /lib/security/pam_nologin.so
auth required /lib/security/pam_listfile.so onerr=fail item=user sense
=deny file=/etc/fred.db
account required /lib/security/pam_pwdb.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so shadow nullok use_authtok
session required /lib/security/pam_pwdb.so
session optional /lib/security/pam_console.so
pour les ceuces qui ont un ficher /etc/pam.conf au lieu du repertoire pam.d, il faut y ajouter la ligne
login auth required /lib/security/pam_listfile.so onerr=fail item=user sense
=deny file=/etc/fred.db
Dans /etc/fred.db, on trouve:
fred
Et voila. fred ne peut plus se logger tout seul mais on peut faire un "su -" dessus vu que /etc/pam.d/su n'est pas modifie.
Eh eh eh...
Fred :)
Pascal Bleser wrote:
>
> On Tue, Aug 03, 1999 at 12:28:36PM +0200, Frédéric Detienne wrote:
> > Si tu fais "man login", il y a la description d'un fichier /etc/usertty. Ca doit faire ce que tu veux.
> Désolé, dans mon "man login", aucune trace de /etc/usertty...
> Par contre, en faisant rpm -qlf /bin/login, j'ai trouvé une manpage de "login.access":
> The login.access file specifies (user, host) combinations
> and/or (user, tty) combinations for which a login will be
> either accepted or refused.
>
> On dirait que c'est *exactement* ce que je voulais ;))
>
> Je viens d'essayer et le syslog me dit:
> ...
> Aug 3 13:20:36 linux-pab in.telnetd[4145]: connect from 192.168.41.183
> Aug 3 13:20:41 linux-pab login[4146]: LOGIN `drebahez' REFUSED on `ttyp6' from `pab.ikossvan.de'
> ...
> héhéhé :))
> Et le "su -" marche, évidemment (vu que je n'ai interdit que les logins remote ;))
>
> Pour info, j'ai ajouté la ligne suivante dans /etc/login.access (qui n'existe pas par défaut
> dans la SuSE (c'est une 6.0)):
> -:drebahez:ALL
>
> - veut dire refuser,
> drebahez c'est le nom de l'acompte qu'on ne peut utiliser qu'en su -,
> ALL c'est l'adresse IP ou le domaine d'où on se connecte: dans ce cas,
> le "ALL" signifie n'importe quel login remote
>
> Voyez "man login.access" pour plus d'informations... :)))
>
> Et ben voilà... :))
>
> --
> -o) Pascal Bleser | Those who do not understand
> /\\ C++/UNIX Development | Unix are condemned to reinvent
> _\_v ATOS Payment Systems | it, poorly.
> Aachen, Germany | --Henry Spencer {fortune}
> <pbleser@atos-group.com>------------------<guru@linuxbe.org>
>
> ---------
> Visit the Linux Supertore Online: http://www.redcorp.com !
> If you want to be deleted from the list, send a mail to
> majordomo@rtfm.be with "unsubscribe linux-team" in the body.
--
------------------------- * oOo * -------------------------
CiscoSystems
Frederic Detienne, CSE II
Security & Network Services
Tel 32 2 705 55 55
---------
Visit the Linux Supertore Online: http://www.redcorp.com !
If you want to be deleted from the list, send a mail to
majordomo@rtfm.be with "unsubscribe linux-team" in the body.