Модуль pam_time

Модуль pam_time может иметь только тип account. Он не принимает никаких аргументов, но у него есть конфигурационный файл /etc/security/time. conf (в Red Hat 7.2; в других дистрибутивах могут быть иные установки). В этом файле находятся списки ограничений. Они применяются ко всем пользователям, включая root. Отсутствие файла означает, что доступ никак не ограничивается.

Предположим, требуется определенным образом ограничить доступ пользователей в систему. Рассмотрим фрагмент файла, представленный в листинге 5.13. Модулям pam_unix и pam_time соответствует управляющий флаг required. В результате проверка учетной записи будет выполнена в любом случае. Если, к примеру, срок действия пароля пользователя Мэри истек, то при попытке войти в систему ей будет сообщено об этом независимо от ограничений модуля pam_time. В листинге 5.14 показано, чем завершится процесс регистрации, когда Мэри попытается войти в систему при условии, что срок действия пароля истек, установки файла /etc/pam. d/time . conf (описан далее) на узле livf reeordie запрещают ей доступ в это время, а файл /etc/pam. d/login сконфигурирован в соответствии с листингом 5.13. Несмотря на попытку внепланового доступа, сообщается только об устаревшем пароле.

Листинг 5.13. Фрагмент файла /etc/pam. d/login (модуль pam_time с флагом required)

account required /lib/security/pam_unix.so account required /lib/security/pam_time.so

Листинг 5.14. Первая попытка регистрации в системе вне установленного графика и при наличии устаревшего пароля

$ telnet livfreeordie

Trying 10.1.1.1...

Escape character is ,A]'.

Red Hat Linux release 7.2 (Enigma)

Kernel 2.4.7-10 on an i686

login: тагу

Password:

Your account has expired; please contact your system administrator User account has expired

Connection closed by foreign host. $

Если же поменять порядок записей и назначить модулю pam_time управляющий флаг requisite (листинг 5.15), ситуация будет совсем иной (листинг 5.16).

Листинг 5.15. Фрагмент файла /etc/pam. d/login (модуль pam_time с флагом requisite)

account requisite /lib/security/pam_time.so account required /lib/security/pam_unix.so

Листинг 5.16. Вторая попытка регистрации в системе вне установленного графика и при наличии устаревшего пароля

$ telnet livfreeordie

Trying 10.1.1.1. . .

Escape character is ,A]'.

Red Hat Linux release 7.2 (Enigma)

Kernel 2.4.7-10 on an 1686

login: тагу

Password:

Permission denied

Connection closed by foreign host. 5

Мораль такова: следите за порядком модулей и управляющими флагами. Поэкспериментируйте, прежде чем внедрять. Убедитесь, что конфигурационные установки соответствуют требованиям безопасности.

Файл /etc/security/time.conf

Файл time. conf задает разрешенное время доступа и устройства, с которых разрешена регистрация в системе. Каждая строка файла представляет собой отдельную запись, называемую правилом. Строки, начинающиеся с символа, являются комментариями. Синтаксис правил таков:

Поле службы; терминалы; пользователи; время. Назначение полей описано в табл. 5.8.

Таблица 5.8. Поля файла /etc/security/time . conf

Описание службы


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок