Re: pam_access
Michael Welle schrieb:
> ich mache mich gerade ein bischen mit PAM schlau. ZB. will ich mit
> pam_access Zugriffsrechte fuer ssh feinkoerniger modellieren, als dass
> sshd es kann. Das funktioniert ganz gut.
Mit pam kenne ich mich nicht so gut aus. Ist natürlich eleganter. Es gibt ja
immer unzählige Wege. SSH sicher ich vielfältig u.a. mit:
# Authentication:
/etc/ssh/sshd_config
AllowUsers foo, bar
> Ein Problem, dass ich noch
> nicht genau verstehe, habe ich noch. Wenn einem account von einer
> bestimmten Maschine aus den Zugriff verwehrt ist, wird offenbar erst
> das Kennwort geprueft und danach zieht pam_access. D.h., man kann das
> Kennwort raten. Hm, was mache ich falsch ;)?
Das o.g. geht auch gut mit hosts.allow & deny.
Beispiel:
hosts.allow
sshd : .example.net, 192.168. EXCEPT 192.168.1.1
In hosts.deny hab ich noch:
# Einbruchsversuche registrieren, schickt bei jedem verweigerten Zugriff
# auf einen Service eine Mail an den Administrator.
ALL : ALL : spawn ( /bin/echo -e "\n\
TCP Wrappers\: Connection refused\n\
By\: $(uname -n)\n\
Process\: %d (pid %p)\n\
User\: %u\n\
Host\: %c\n\
Date\: $(date)\n\
" | /usr/bin/mail -s "Connection to %d blocked" root ) &
Dazu noch dynamische Firewallregeln auf dem Gateway.
Ciao Marco!
--
Debian GNU/Linux
Diletantismus fliegt einem zu, Wissen nicht.
Es ist gut zu wissen, dass man alles wissen könnte.
Reply to:
- References:
- pam_access
- From: Michael Welle <mwe012008@gmx.net>