Модуль pam_rhosts_auth

Выще уже говорилось о том, какую угрозу системе несет применение команд rlogin, rexec, rsh и др., связанных с использованием файлов надежных узлов.

Описание

Вызовы модуля необходимо разместить в файлах /etc/pam. d/r sh и /etc/pam. d/ rlogin, а также в конфигурационных файлах любых других РАМ-служб, использующих файлы надежных узлов. Чтобы включить традиционную реализацию (файлы надежных узлов разрешены), добавьте запись

Демилитаризованная зона состоит из систем, которые доступны для внешнего мира.

Этот модуль может иметь только тип auth. Его аргументы описаны в табл. 5.16. Конфигурация модуля в значительной степени зависит от конкретной системы. В пределах локальной сети вышеперечисленные команды вполне допустимы и весьма удобны для пользователей. Но в некоторых системах, таких как высоконадежные серверы, серверы демилитаризованных зон и брандмауэры, файлы $НОМЕ/. rhosts и /etc/hosts, equiv должны строго контролироваться или вообще быть запрещены.

Таблица 5.16. Аргументы модуля pam_rhosts_auth

Аргумент

auth sufficient /lib/security/pam_rhosts_auth.so

в начало стека auth (по крайней мере, модуль pam_rhosts_auth должен вызываться раньше, чем модуль, отображающий приглашение на ввод пароля). Более строгая запись имеет такой вид (правила ее размещения такие же):

auth required /lib/security/pam_rhosts_auth.so no_rhosts

Она полностью запрещает файлы $НОМЕ/ . rhosts, но по-прежнему разрешает файл /etc/hosts. equiv (который неприменим к суперпользователю).

Поддержка одноразовых паролей

Одноразовые пароли поддерживаются модулями pam_opie и pam_skey.


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок