Permitir/negar autenticação para determinados grupos

Publicado por Bruno Rogério Fernandes em 08/04/2011

[ Hits: 6.455 ]

0 0

Denuncie Favoritos Indicar Impressora

Permitir/negar autenticação para determinados grupos

AVISO!

Esta dica, se mal executada, pode fazer com que não seja mais possível logar no sistema da maneira convencional. Então, cuidado! Aconselho o uso de uma máquina virtual para fazer os testes.

Para esse feito, usaremos um módulo do PAM chamado pam_listfile, que permite realizar muitas coisas, então, para mais detalhes:

man pam_listfile

Se você precisar permitir ou negar autenticação(login) de usuários pertencentes a determinados grupos, siga os seguintes passos:

1. Crie um arquivo, digamos /etc/login.group.allowed ou /etc/login.group.denied, contendo uma lista de todos os grupos que deseja permitir/negar autenticação (um por linha), exemplo:

/etc/login.groups.allowed:

bruno

2. Edite o arquivo /etc/pam.d/common-auth, para quem usa Debian/Ubuntu, ou /etc/pam.d/system-auth para outras distros, e acrescente no INÍCIO do arquivo o seguinte, caso queira permitir o login:

auth required pam_listfile.so onerr=fail item=group sense=allow file=/etc/login.group.allowed

Ou, para negar:

auth required pam_listfile.so onerr=fail item=group sense=deny file=/etc/login.group.denied

E pronto. No exemplo, somente os usuários pertencentes ao grupo bruno podem se autenticar no sistema. Isso é útil caso você tenha uma política de restrição de logins no seu ambiente de trabalho.

Até a próxima!

Outras dicas deste autor

Copiando arquivos usando netcat e tar

Leitura recomendada

SSH - Hardening no arquivo .conf

Bloqueando MSN, Yahoo, ICQ com Iptables

Como testar a segurança de sua senha

Bloquear/restringir acesso ao "su" somente ao grupo wheel

Auditoria teste de invasão (pentest) - Planejamento, preparação e execução

Comentários

Nenhum comentário foi encontrado.