Модули типа auth

Стек типа auth объединяет три модуля. Первый из них — pam_securetty. Он может иметь только тип auth и не принимает никаких аргументов. Его назначение заключается в проверке того, описано ли в файле /etc/secretty устройство, с которого делается попытка зарегистрироваться в системе под именем root. Этот модуль обязателен, так что попытки суперпользователя зарегистрироваться с небезопасного терминала пресекаются. Вспомните, однако, что управляющий флаг required разрешает выполнение последующих модулей, поэтому пользователю будет отказано в доступе только после того, как будут выполнены все три модуля стека.

Второй модуль — pam_unix. Его роль здесь заключается в аутентификации пользователя.

Третий модуль стека — pam_nologin. Он тоже может иметь только тип auth и не принимает никаких аргументов. Его задача состоит в проверке наличия файла /etc/nologin. Если этот файл существует, ни один пользователь, кроме root, не сможет зарегистрироваться в системе. В файле может содержаться поясняющее сообщение, которое в этом случае выводится на экран, например:

System down for maintenance until 2/28/99 at 4pm

Вот что произойдет, если пользователь j ое попытается войти в систему (листинг 5.12).

Листинг 5.12. Попытка регистрации при наличии файла /etc/nologin

$ telnet livfreeordie

Trying 10.1.1.1...

Connected to livfreeordie.

Escape character is ,A.

Red Hat Linux release 7.2 (Enigma)

Kernel 2.4.7-10on an i686

login: joe

Password:

System down for maintenance until 2/28/99 at 4pm Login incorrect login:

Кстати...

Пытались ли вы когда-нибудь избавиться от сообщения, отображаемого при входе в систему? В листинге 5.12 это двухстрочное сообщение, начинающееся со слов "Red Hat Linux". Оно содержит определенную информацию о системе, что нежелательно с точки зрения безопасности. В Red Hat 7.2 текст сообщения берется из файла /etc/issue.net для сетевых подключений и из файла /etc/issue — для локальных. Но не спешите редактировать их: эти файлы переписываются при каждой перезагрузке. Чтобы действительно модифицировать их, отредактируйте файл /etc/гс. d/rc. local. На него имеется символическая ссылка /etc/rc. d/rc2 . d/S991ocal. Этот сценарий запускается при переходе на уровень выполнения 2. Поменяйте сообщение на что-то более подходящее, например "This is a restricted system. All activities are logged".

По умолчанию пользователь joe сможет сделать три попытки зарегистрироваться в системе, но результат будет один и тот же. Существующие сеансы не затрагиваются при добавлении файла /etc/nologin. Обычно этот файл используется для целей системного администрирования, но может оказаться полезным и в случае взлома. Как правило, он не существует, так что пользователь, пройдя аутентификацию, получает доступ в систему. Вслед за этим вызываются остальные модули, перечисленные в файле /etc/pam.d/login.


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок