RH253中Host-Level Security的实验
目的:利用PAM限制登录时间和区域
步骤:
1.建立两个用户:bill属于users组,biff属于redmond组.
2.vi /etc/security/time.conf
增加一行
login;*,bill;Mo0500-2400|TuWeTh0000-2400|Fr0000-1900
(目的:限制biff用户从周五下午7:00-周一上午5:00登录系统)
vi /etc/security/access.conf
增加一行
-:redmond:ALL EXCEPT tty2
(目的:限制redmond组只能从tty2登录)
3.vi /etc/pam.d/login增加两行
account required /lib/security/pam_time.so
account required /lib/security/pam_access.so
(我试验时,这两行写到/etc/pam.d/system-auth中也可以)
4.改变系统时间,用bill和biff登录.检查结果.
问题:
如果使用了xwindow则会发现bill和biff不受上述限制,该如何解决?我试验了,把默认启动级别改为3.但这不是好办法,谁还有好办法?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(9)
关注。。。
我自己对xwindows的验证过程不是太了解,但是它应该有一个
验证程序在其中,这点通过ps可以看到的,只是它的验证过
过程是不是也能象pam那样模块化就不太清楚了,当时看楼主
比较急,所以出了那个主意,用startx来启动,这样就绕过了
用xdm时所产生的不安全因素。
上面只是个人设想的,没有经过检验,楼主可以试一下。
看来自己真得努力了,很多东西都是摸棱两可的。
谢谢了!我只是在做这个实验时遇到了难题。生产中暂时还用不到。但是想找到解决办法。我也想xwindow的登录是有自己的验证机制,或者它调用的不是login。但是不知道调用的是什么。我晚上再试验一下。我现在想到一个思路:让init 3启动的服务和init 5的服务(指标准的)一样多,然后ps -ef>;init3.txt;然后重启到x,ps-ef >;init5.txt比较一下多了什么服务。谁现在可以试试?
什么意思?是不是先从文本界面登录,然后再startx?这样的话和我的方法没有多少区别。
谢谢!能不能详细说明一下。
可以让用户先注册进入,再运行xwindow,
不用xdm及类似的管理器启动。
我来支持!!!
怎么看贴都不回贴啊!是不是也要罚你们“跑圈”啊!
怎么没有人回复呀?
up.