PAMによるアクセスを制限してください - 十分な対必須
私は特定のグループにSSHアクセスを制限しようとしています。グループは/etc/ssh/user.allow、および/etc/ssh/group.allowのグループにリストされています。 /etc/pam.d/sshdに次の行を使用してみました。
auth sufficient /lib/security/pam_listfile.so onerr=fail item=user sense=allow file=/etc/ssh/user.allow
auth required /lib/security/pam_listfile.so onerr=fail item=group sense=allow file=/etc/ssh/group.allow
_行の配置方法、および「必須」と「十分」の使用方法を理解することはできません。任意のヒント?
編集:私の質問があると思いますが、「2つのpam.d文」という方法はありますか? PAMが「and」ステートメントに設定されているようです。
"場合によります"。複数のオプションがあります。これらは、スタックのどこにあるのか、およびどのような影響を及ぼしているのかについての意味があります。スニペットを投稿してください。コンフィギュレーション全体ではなく、私は頭の上から2つのものを考えることができます。
- あなたはそれらを「十分」の両方にマークすることができます。そのタグは、一致が評価を停止することを意味します(後の行はまったく処理されませんでした。そのため、パスワードやキーチェックは上記のパスワードの必要性が必要です)。それが「十分」という意味です。一方、失敗はあなたに対して故障しません。ですから、最初の行が成功した場合は、失敗した場合は、それはあなたに対して保持されず、2行目がチェックされます。
拡張構文を使用して最初のものを「OKに失敗する」としてマークすることができますが、それが成功した場合は次のものをスキップします。
auth [success=1 default=ignore] /lib/security/pam_listfile.so item=user ..._
[。]auth [success=ok default=die] /lib/security/pam_listfile.so item=group ..._グループチェックをスキップするには、ユーザーの確認が成功したが、グループチェックの失敗に失敗する(評価を停止する(評価を停止する(停止 "の代わりに「Die」の代わりに「悪い」)。
拡張構文のバージョンはおそらく指定されるべき多くの操作を必要とします(man pam.conf - http://linux.die.net/man/5/pam.conf )、そしてあなたは間違いなくPAM構成を慎重に編集する必要があります。システム完全に(一般に、ファイルを編集している場合は、エディタで開き、エディタで開き、別の端末で設定していることをしてください。システムを過度に許可されるようにシステムを完全に誤って設定することも可能です(例えば、早期の「十分な」回線では、環境設定とパスワードチェック、または何でも)をスキップすることができます。