Re: Login/Authentifizierung nur an lokaler virtueller console?

Autor: Markus Hochholdinger <Markus_at_hochholdinger.net>
Datum: Sat, 7 Jan 2012 17:37:19 +0100
Hi,

Am 07.01.2012 um 16:05 Uhr schrieb Thomas Stiefel <Tom_at_vtux.de>:
> Am 07.01.2012 14:41, schrieb Markus Hochholdinger:
> > Am 07.01.2012 um 12:55 Uhr schrieb Raphael Eiselstein<rabe_at_uugrn.org>:
[..]
> > [..]
> > auth    required        pam_listfile.so item=group \
> >    sense=allow file=/etc/pam.d/login-groups
> > [..]
> > In /etc/pam.d/login-groups stehen dann Gruppennamen, pro Zeile einer.
> > Je nach Anwendungsfall kann man das auch negiert verwenden, mit
> > "sense=deny".
> Naja, wenn ich das richtig verstehe, dann erlaubt oder verweigert man
> damit allerdings einer Gruppe den Zugriff generell.

ja, genau.


> Was ich bei Tests
> allerdings nicht nachstellen konnte. Muss da noch irgendwas neu
> gestartet werden?

Nein, es sollte nichts neugestartet werden müssen! Aber ein gern gesehener 
Fehler ist, dass ssh mit authorized_keys kein pam-auth verwendet und damit 
diese Regel dann nicht zieht, wenn man es in sshd einträgt und der 
entsprechende Benutzer authorized_keys verwendet.


> Wenn man davon ausgeht, dass man auf den Rechner entweder lokal an der
> Konsole oder Remote per SSH zugriefen kann, dann würde es genügen den
> SSH-Zugriff zu begrenzen. Dafür würde einer der beiden folgenden
> Einträge in der /etc/ssh/sshd_config genügen:
> AllowUsers root tom
> AllowGroups admins
> Der lokale Admin-User admin hätte dann keinen Zugriff per SSH und könnte
> sich nur lokal anmelden.

Das ist natürlich die richtige Lösung wenn man nur den ssh-Zugriff abstellen 
will. Vielleicht für Raphaels Fall sogar einfacher und übersichtlicher, wenn 
es denn den Anforderungen entspricht.


-- 
Gruß
                                                          \|/
       eMHa                                              (o o)
------------------------------------------------------oOO--U--OOo--
 Markus Hochholdinger
 e-mail  mailto:Markus_at_Hochholdinger.net             .oooO
 www     http://www.hochholdinger.net                (   )   Oooo.
------------------------------------------------------\ (----(   )-
Ich will die Welt verändern,                           \_)    ) /
aber Gott gibt mir den Quelltext nicht!                      (_/


-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/
Empfangen am 07.01.2012

Dieses Archiv wurde generiert von hypermail 2.2.0 : 07.01.2012 CET