Como restringir login no Debian: mudanças entre as edições
Sem resumo de edição |
Sem resumo de edição |
||
Linha 1: | Linha 1: | ||
Em <code>/etc/security/access.conf</code>, adicionar: | Em <code>/etc/security/access.conf</code>, adicionar: | ||
+ : root : ALL | + : root : ALL | ||
+ : ( | + : (mygroup) : ALL | ||
- : ALL : ALL | - : ALL : ALL | ||
* Substitua <code> | * Substitua <code>mygroup</code> pelo grupo permitido a logar. Isso libera o login do usuário <code>root</code> e de todos os usuários pertencentes ao grupo <code>mygroup</code>, bloqueando todos os outros acessos (ver <code>man access.conf</code> para mais opções de configuração). | ||
É necessário informar ao PAM que o <code>access.conf</code> deve ser verificado no login. Em /etc/pam.d/ existem vários arquivos do PAM, um para cada serviço do sistema que utiliza autenticação (ssh, telnet, cups, login gráfico, etc). Em cada serviço que se deseja restringir o login, deve ser adicionada a linha | É necessário informar ao PAM que o <code>access.conf</code> deve ser verificado no login. Em /etc/pam.d/ existem vários arquivos do PAM, um para cada serviço do sistema que utiliza autenticação (ssh, telnet, cups, login gráfico, etc). Em cada serviço que se deseja restringir o login, deve ser adicionada a linha | ||
Linha 11: | Linha 11: | ||
</code> | </code> | ||
Ou seja, se o desejo é restringir acesso do grupo <code> | Ou seja, se o desejo é restringir acesso do grupo <code>mygroup</code> ao login gráfico e ao ssh, essa linha deve ser adicionada nos arquivos lightdm (ou gdm), login e no arquivo sshd. | ||
'''Obs.:''' os arquivos common-* são incluídos em todos os outros arquivos de configuração. Não é uma boa ideia restringir o acesso por eles pois, por exemplo, o usuário gdm (ou lightdm) deve ter permissão de login na máquina para que a interface gráfica seja iniciada. Incluir a restrição no common-* impede que esse usuário faça login, pois ele não estaria no grupo cujo acesso foi permitido. Consequentemente, a interface gráfica não seria iniciada. O método ideal é incluir a restrição em cada serviço. | '''Obs.:''' os arquivos common-* são incluídos em todos os outros arquivos de configuração. Não é uma boa ideia restringir o acesso por eles pois, por exemplo, o usuário gdm (ou lightdm) deve ter permissão de login na máquina para que a interface gráfica seja iniciada. Incluir a restrição no common-* impede que esse usuário faça login, pois ele não estaria no grupo cujo acesso foi permitido. Consequentemente, a interface gráfica não seria iniciada. O método ideal é incluir a restrição em cada serviço. |
Edição atual tal como às 17h08min de 15 de janeiro de 2018
Em /etc/security/access.conf
, adicionar:
+ : root : ALL + : (mygroup) : ALL - : ALL : ALL
- Substitua
mygroup
pelo grupo permitido a logar. Isso libera o login do usuárioroot
e de todos os usuários pertencentes ao grupomygroup
, bloqueando todos os outros acessos (verman access.conf
para mais opções de configuração).
É necessário informar ao PAM que o access.conf
deve ser verificado no login. Em /etc/pam.d/ existem vários arquivos do PAM, um para cada serviço do sistema que utiliza autenticação (ssh, telnet, cups, login gráfico, etc). Em cada serviço que se deseja restringir o login, deve ser adicionada a linha
account required pam_access.so
Ou seja, se o desejo é restringir acesso do grupo mygroup
ao login gráfico e ao ssh, essa linha deve ser adicionada nos arquivos lightdm (ou gdm), login e no arquivo sshd.
Obs.: os arquivos common-* são incluídos em todos os outros arquivos de configuração. Não é uma boa ideia restringir o acesso por eles pois, por exemplo, o usuário gdm (ou lightdm) deve ter permissão de login na máquina para que a interface gráfica seja iniciada. Incluir a restrição no common-* impede que esse usuário faça login, pois ele não estaria no grupo cujo acesso foi permitido. Consequentemente, a interface gráfica não seria iniciada. O método ideal é incluir a restrição em cada serviço.