Permitir/negar autenticação para determinados grupos

Publicado por Bruno Rogério Fernandes em 08/04/2011

[ Hits: 5.218 ]

 


Permitir/negar autenticação para determinados grupos



AVISO!

Esta dica, se mal executada, pode fazer com que não seja mais possível logar no sistema da maneira convencional. Então, cuidado! Aconselho o uso de uma máquina virtual para fazer os testes.

Para esse feito, usaremos um módulo do PAM chamado pam_listfile, que permite realizar muitas coisas, então, para mais detalhes:

man pam_listfile

Se você precisar permitir ou negar autenticação(login) de usuários pertencentes a determinados grupos, siga os seguintes passos:

1. Crie um arquivo, digamos /etc/login.group.allowed ou /etc/login.group.denied, contendo uma lista de todos os grupos que deseja permitir/negar autenticação (um por linha), exemplo:

/etc/login.groups.allowed:

bruno

2. Edite o arquivo /etc/pam.d/common-auth, para quem usa Debian/Ubuntu, ou /etc/pam.d/system-auth para outras distros, e acrescente no INÍCIO do arquivo o seguinte, caso queira permitir o login:

auth required pam_listfile.so onerr=fail item=group sense=allow file=/etc/login.group.allowed

Ou, para negar:

auth required pam_listfile.so onerr=fail item=group sense=deny file=/etc/login.group.denied

E pronto. No exemplo, somente os usuários pertencentes ao grupo bruno podem se autenticar no sistema. Isso é útil caso você tenha uma política de restrição de logins no seu ambiente de trabalho.

Até a próxima!

Outras dicas deste autor

Copiando arquivos usando netcat e tar

Leitura recomendada

IDS Invisivel - Parte 1

Proteja os seus dados - criptografia

Cursos de segurança da informação no Rio de Janeiro

Confira o Cuckoo Sandbox. Analisador de malware!

SSH - Hardening no arquivo .conf

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts