[linux] zakazat root login

[Andrej Hosna]

No pozeral som pam_access lenze mne praveze islo o to aby sa to dalo na 
zaklade servicov riesit. Nieco take vseobecnejsie by bolo asi mat konfigurak 
ze ktorym userom co dovolis a pustat ich na zaklade toho. Pritom by kazdy 
service mal ako prvy riadok required tento modul.
Inaq. Dalsia vec ktora by sa potom dala pekne spravit by bolo ze ssh by islo 
cez PAM-ku s tym ze by sa optiona povolenia root loginu presunula do /etc/
pam.d/ssh alebo kde to ma kto dane.
Obcas by sa zislo totizto zakazat istym userom iste sluzby. Mozno sa to da 
spravit cez LDAP.
A.
> > Ad cela tato vec, mal som rozpisany mail kde som navrhoval mozne riesenie
> > cez vlastny PAM modul, ale zrusil som to ked som videl ako dotycny
> > zareagoval: ze teda ako je msec haluz a nemieni to dalej riesit.
> >
> > Berte to ako otazku. Moj napad bol spravit / stiahnut PAM modul volajme
> > ho norootlogin ktory by sa dal do korespondujucich service fajlov PAMiek
> > a potom by to vyzeralo ze ked xcem zakazat rootovi login jednoducho do
> > login dam: auth required rootnologin.so a hotovo.
> >
> > Stretli ste sa niekto uz s takymto niecim ?
>
> este nie, pam_access totizto umozni velmi efektivne obmedzovat loginy
> jednotlivych userov s jednotlivych miest, a zakazat login roota je cez neho
> lahodka, ak to teda nechces viazat na sluzbu - v /etc/security/access.conf
> (na debiane a zrejme aj inde) polozka pre sluzbu nie je. (myslim ze nema
> zmysel).
>
> staci teda zaktivovat pam_access.so a pridat do access.conf:
>
> +:root:tty1 tty2 tty3 tty4 tty5 tty6 tty7 tty8 :0
> -:root:ALL
>
> alebo
>
> -:root:ALL EXCEPT tty1 tty2 tty3 tty4 tty5 tty6 tty7 tty8 :0
>
> mozno sa s tym bude treba pohrat ale malo by to ist...

-- 
Andrej HOSNA (Andrej.Hosna na iblsoft.com) 
IBL Software Engineering, http://www.iblsoft.com 
Stare Zahrady 35, 82105 Bratislava, Slovakia 
Tel: +421-2-43427449, fax: +421-2-43427214