Linux實踐工程師學習筆記十八

 

pam_access.so模組的使用

                     ―――控制訪問sshd服務的主機和使用者

1.修改需使用這個模組的服務檔案，如sshd:   /etc/pam.d/sshd添加

account   required   pam_access.so

2.修改模組的設定檔

/etc/security/access.conf

- : redhat : ALL EXCEPT 192.168.0.            （格式）

3.測試

ssh  redhat@192.168.0.22

ssh  redhat@127.0.0.1

pam_access.so根據主機、IP、使用者、拒絕或允許訪問。

 

pam_listfile.so的應用 (比pam_access.so更加詳細控制)

1.首先查看它的協助檔案，看它的具體格式，參數如何

#less /usr/share/doc/pam-0.99.3.0/txts/README.pam_listfile

item        user,tty,group         說明列表檔案中的內容

sense      allow,deny             拒絕或允許檔案中的使用者

file          指定一個檔案，內容根據item項來添加

onerr       succeed,fail    當模組本身產生錯誤時，返回的值，如無法開啟file指定的檔案，一般設為succeed

2.將模組應用到sshd服務

將上面添加的pam_access.so清掉，然後在/etc/pam.d/sshd中添加（第一行）

auth       required   pam_listfile.so        item=user      sense=deny     file=/etc/denyuser onerr=succeed

注意添加的位置順序，否則看不到效果

3.建立編緝列表檔案

#echo “redhat” >/etc/denyuser

4.測試

#ssh -l redhat 192.168.0.22   失敗

#ssh -l chinaitlab 192.168.0.22 成功

 

#w   顯示已登入的使用者及最近的一次操作