Логический список устройств доступа

Логический список служб. Допускается наличие нескольких записей для одной и той же службы.

Логический список устройств доступа. Имя регистрационного устройства

хранится в переменной PAM_TTY. Обычно консолям соответствуют устройства ttyl и tty2, последовательным портам — устройства ttySO и ttySl, псевдотерминалам (сетевые соединения и сеансы X Window System) — устройства ttypl и ttyp2 пользователи. Логический список пользователей может включать пользователя root время. Логический список дат, к которым применяется данное правило упоминаемое в табл. 5.8 выражение логический список означает, что элементы списка разделяются специальными условными операторами (табл. 5.9).

пользователь! пользователь2 к обоим пользователям

ttyl | tty2 — правило применяется либо к устройству ttyl, либо к устройству tty2

! login — правило не применяется к службе login

Соответствует любому значению, интерпретация зависит от положения в поле

правило применяется

Логические операторы можно смешивать. Например, выражение tty~& !ttyp

означает, что данным правилом разрешены любые последовательные устройства, но не псевдотерминалы.

Синтаксис задания дат в файле time, conf описан в табл. 5.10. После символьного кода указывается временной интервал в 24-часовом формате. Например, выражение Wd0800-1600 означает "в выходные дни, между 8:00 и 16:00". Пробелов между символьным кодом и последующим числовым интервалом быть не должно.

Таблица 5.10. Коды дней в файле /etc/security/time . conf Коды Описание

Mo, Tu, We, Каждый код обозначает соответствующий день недели. Допускается конкатенация Th, Fr, Sa, кодов. Например, выражение MoTuWe означает "попедельпик, вторник и среда" Su

Wk и Wd Wk означает "в будние дни", a Wd — "в выходные" (суббога и воскресенье). Учтите, что, к примеру, выражение MoWk означает "все будние дни, кроме понедельника" Al Все дни недели. Учтите, что, к примеру, выражение AlSu означает "все дни,

кроме субботы"

В листинге 5.17 показаны образцы записей файла /etc/security/time. conf. В данном примере суперпользователь имеет доступ ко всем службам в любое время, но только с терминала ttyl. Пользователи joe, bill и jane имеют доступ в систему каждый день с 8:00 до 18:00 с любого терминального устройства при условии, что подключение осуществляется через службу login или rsh. Пользователь guest может регистрироваться откуда угодно с понедельника по пятницу с 9:00 до 16:00, за исключением обеденного перерыва (с 12:00 до 13:00). Наконец, любому пользователю разрешен доступ в систему через службу ftp с понедельника по пятницу с 9:00 до 16:00.

Листинг 5.17. Пример файла /etc/security/time. conf;ttyl;root;A10000-2400

Логическое

умножение

Логическое

сложение

Логическое

отрицание

Метасимвол

Таблица 5.9. Условные операторы в файле /etc/security/time . conf

Пример

Оператор Функция

login S rsh;joeIbillI jane;A10800-1800

login;guest;Wk0900-1600!Wkl200-1300

ftp;Wk0900-1600

Порядок записей этого файла не имеет значения. Если интервалы времени перекрывают друг друга, выбирается запись с наибольшими ограничениями. Помните, что вызов модуля pam_time нужно включать в каждый файл каталога /etc/pam.d, связанный с ограничением доступа в систему. Как минимум это следующие файлы (за каждым из них стоит соответствующая служба): ftp, login, ррр, rexec, rlogin, rsh, su и xdm.

Предупреждение

Если в файле /etc/security/time . conf присутствует запись вида *;*;*;!AL0000-24000

доступ в систему будет заблокирован всем пользователям, включая root. В таком случае придется пройти малоприятную процедуру восстановления поврежденной системы (см. с. 43).


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок