etc/security/access.conf文件是做什么的? pam_access认证模块 所属类型:account 功能描述:该模块提供基于登录用户名、客户ip/主机名、网络号以及登录终端号的访问控制。缺省的,该模块的配置文件是/etc/security/access.conf,可以使用accessfile参数指定自定义的配置文件。 可带参数:accessfile=/path/to/file.conf 配置文件说明:
该文件的每一行由如下三个字段构成,中间使用冒号分割:
权限 : 用户 : 来源
权限字段可以是”+”(即允许访问),”-”(禁止访问);
用户字段可以是用户名、组名以及诸如user@host格式的用户名,ALL表示任何人,
具有多个值时,可以用空格分开。
来源字段可以是tty名称(本地登录时)、主机名、域名(以”.”开始),主机ip地址,网络号(以”.”结束)。ALL表示任何主机,LOCAL表示本地登录。
可以使用EXCEPT操作符来表示除了…之外。 配置实例:
只有bye2000可以从本地登录主机。
编辑/etc/pam.d/login如下所示:
#%PAM-1.0
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_stack.so service=system-auth
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_stack.so service=system-auth
account required /lib/security/pam_access.so
password required /lib/security/pam_stack.so service=system-auth
session required /lib/security/pam_stack.so service=system-auth
session optional /lib/security/pam_console.so
也即加上
account required /lib/security/pam_access.so
然后在/etc/security/access.conf中加上:
-:ALL EXCEPT bye2000 : LOCAL
假如禁止root以外的任何人从任何地方登录,可以在/etc/security/access.conf中加上:
-:ALL EXCEPT root: ALL
Linux联盟收集整理 |
热门文章
