[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux-team] La *BELLE* soluce de "login interdit/su ok"



Marrant. J'utilise RedHat 6.0 et je n'ai pas de page man pour login.access. J'ai essaye tout de meme et ca ne marche pas.

Je viens de trouver une belle soluce avec PAM. Bien Linux et tout et tout.

Il faut updater le fichier /etc/pam.d/login de facon a ajouter la ligne

auth       required     /lib/security/pam_listfile.so onerr=fail item=user sense
=deny file=/etc/fred.db

Le fichier devient (apres modification de mon fichier par defaut):

#%PAM-1.0
auth       required     /lib/security/pam_securetty.so
auth       required     /lib/security/pam_pwdb.so shadow nullok
auth       required     /lib/security/pam_nologin.so
auth       required     /lib/security/pam_listfile.so onerr=fail item=user sense
=deny file=/etc/fred.db
account    required     /lib/security/pam_pwdb.so
password   required     /lib/security/pam_cracklib.so
password   required     /lib/security/pam_pwdb.so shadow nullok use_authtok
session    required     /lib/security/pam_pwdb.so
session    optional     /lib/security/pam_console.so


pour les ceuces qui ont un ficher /etc/pam.conf au lieu du repertoire pam.d, il faut y ajouter la ligne

login   auth       required     /lib/security/pam_listfile.so onerr=fail item=user sense
=deny file=/etc/fred.db


Dans /etc/fred.db, on trouve:

fred

Et voila. fred ne peut plus se logger tout seul mais on peut faire un "su -" dessus vu que /etc/pam.d/su n'est pas modifie.

Eh eh eh...

	Fred :)



Pascal Bleser wrote:
> 
> On Tue, Aug 03, 1999 at 12:28:36PM +0200, Frédéric Detienne wrote:
> > Si tu fais "man login", il y a la description d'un fichier /etc/usertty. Ca doit faire ce que tu veux.
> Désolé, dans mon "man login", aucune trace de /etc/usertty...
> Par contre, en faisant rpm -qlf /bin/login, j'ai trouvé une manpage de "login.access":
>    The  login.access file specifies (user, host) combinations
>    and/or (user, tty) combinations for which a login will  be
>    either accepted or refused.
> 
> On dirait que c'est *exactement* ce que je voulais ;))
> 
> Je viens d'essayer et le syslog me dit:
> ...
> Aug  3 13:20:36 linux-pab in.telnetd[4145]: connect from 192.168.41.183
> Aug  3 13:20:41 linux-pab login[4146]: LOGIN `drebahez' REFUSED on `ttyp6' from `pab.ikossvan.de'
> ...
> héhéhé :))
> Et le "su -" marche, évidemment (vu que je n'ai interdit que les logins remote ;))
> 
> Pour info, j'ai ajouté la ligne suivante dans /etc/login.access (qui n'existe pas par défaut
> dans la SuSE (c'est une 6.0)):
> -:drebahez:ALL
> 
> - veut dire refuser,
> drebahez c'est le nom de l'acompte qu'on ne peut utiliser qu'en su -,
> ALL c'est l'adresse IP ou le domaine d'où on se connecte: dans ce cas,
>     le "ALL" signifie n'importe quel login remote
> 
> Voyez "man login.access" pour plus d'informations... :)))
> 
> Et ben voilà... :))
> 
> --
>   -o)  Pascal Bleser        | Those who  do  not  understand
>   /\\  C++/UNIX Development | Unix are condemned to reinvent
>  _\_v  ATOS Payment Systems | it, poorly.
>        Aachen, Germany      | --Henry Spencer {fortune}
> <pbleser@atos-group.com>------------------<guru@linuxbe.org>
> 
> ---------
> Visit the Linux Supertore Online: http://www.redcorp.com !
> If you want to be deleted from the list, send a mail to
> majordomo@rtfm.be with "unsubscribe linux-team" in the body.

-- 
------------------------- * oOo * -------------------------
                        CiscoSystems

                  Frederic Detienne, CSE II
                 Security & Network Services

                     Tel 32 2 705 55 55
---------
Visit the Linux Supertore Online: http://www.redcorp.com !
If you want to be deleted from the list, send a mail to
majordomo@rtfm.be with "unsubscribe linux-team" in the body.