Конфигурационный файл other

Пока что мы рассматривали отдельные РАМ-приложения, выясняя, как предоставлять или ограничивать им доступ с помощью модулей РАМ. Выясняется, что, если у определенного приложения нет собственного конфигурационного файла, ядро Linux-PAM предоставляет ему специальный набор модулей из файла /etc/pam.d/other. Этот файл обычно используется для отклонения всех запросов и по умолчанию выглядит так, как показано в листинге 5.27. Этот файл будет задействован, если, к примеру, инсталлировать пакет SSH и забыть создать для него конфигурационный файл в каталоге /etc/pam. d. В таком случае ssh-соединения окажутся запрещены. Более того, модуль pam_deny не выдает никаких сообщений по этому поводу! Он лишь предназначен для отклонения всех запросов от любых модулей. Придется потратить уйму времени на выяснение причин подобного поведения системы.

Листинг 5.27. Типичный файл /etc/pam.d/other

auth required /lib/security/pam_deny.so

account required /lib/security/pam_deny.so

password required /lib/security/pam_deny.so

session required /lib/security/pam_deny.so

Но существует другой модуль, pam_warn, который регистрирует информационные сообщения в системе Syslog, включая название службы, имя терминала, локальное и сетевое имя пользователя, а также имя компьютера, от которого поступает запрос. Модуль pam_warn может иметь тип auth либо password. В листинге 5.28 показано, как модифицировать файл /etc/pam.d/other. В этом случае для любых дополнительных служб, к которым поступают запросы в рамках стеков auth и password, будут генерироваться журнальные сообщения. Модуль pam_warn можно использовать не только с модулем pam_deny, но и с любым другим модулем стека auth или password.

Листинг 5.28. Усовершенствованный файл /etc/pam. d/other

auth required /lib/security/pam_warn.so

auth required /lib/security/pam_deny.so

account required /lib/security/pam_deny.so

password required /lib/security/pam_warn.so


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок