Архив форумов ЦИТФорума

[Devian]

RedHat 6.2, PAM аутентификация..
Для того, чтобы получить права суперпользователя могли получить только члены группы root, в файле /etc/pam.d/su прописываем строку:
auth required /lib/security/pam_wheel.so

Если этой строчки нет, суперюзером может стать член любой группы, но когда пишу эту строчку, суперпользователем не может стать никто, даже член группы root.

Почему?? Может у кого-нибудь есть какие-то версии?

[and3008]

А самому не догадаться? Или доку не дочитал?


После правки этой заветной строчки root-ами могу стать только юзвери из группы wheel

[Devian]

Угу..тока когда пишешь
auth required /lib/security/pam_wheel.so group=wheel езультат не меняется: доступа все равно нет.
Кстати, документация какая-нибудь кроме манов еще есть?

[and3008]

Дык ты хоть одного юзверя в группу wheel положил?
Положи, а потом проверяй. Не получится - пиши.

[Devian]

Дело было в следующем:
я создал юзера и ручками в файле ему присвоил нужную группу. Но с правами суперюзера в систему все равно не пускало.. Я написал командочку для юзера типа usermod -G10 test и все заработало. Может просто когда правил опечатку допустил..
Спасибо за помощь.

Еще,если можно, маленький вопросик к тебе: если я хочу, чтобы управление сервером производилось только с одного IP , нужно внести строчку в access.conf
+ : ALL : IP
и все?? Или еще что-то где-то нужно прописывать?

[Dmitry.Karpov http://www.]

Начать надо с вопроса: а чем отличается "использование сервера" от "управления им"? В зависимости от этого и строится политика разрешений/запретов, причем используются множественные средства - IP-фильтрация, пароли юзеров, групповая политика и т.п.. К тому же надо внимательно смотреть весь набор правил в access.conf и других службах - разбор отдельного правила малоинформативен.

[Devian]

access.conf контролирует модуль pam_access, который определяет не только кто может зайти на сервер, но и откуда. Я прописал правила в access.conf на доступ с определенного адреса, но результата никакого- на сервер по-прежнему можно зайти с любого адреса. Я предполагаю, что нужно указать строчку
account required /lib/security/pam_access.so
в /etc/pam.d/login, но, скорее всего и еще где-то, потому что не помогает.

[Devian]

Subj.

[Dmitry.Karpov http://www.]

Во всех системах управления доступом есть некое "правило по умолчанию", гласящее "разрешить" или "запретить"; причем это правило м.б. явно прописано в списке правил или зашито в программу. Насколько я понимаю, в access.conf по умолчанию разрешен доступ всем, так что дополнительные разрешения ничего не меняют; надо запрещать всем, а перед этим разрешить некоторым (порядок просмотра правил существенен).

[Devian]

Subj
Cпасибо.