Linux实践工程师学习笔记十八

 

pam_access.so模块的使用

                     ―――控制访问sshd服务的主机和用户

1.修改需使用这个模块的服务文件，如sshd:   /etc/pam.d/sshd添加

account   required   pam_access.so

2.修改模块的配置文件

/etc/security/access.conf

- : redhat : ALL EXCEPT 192.168.0.            （格式）

3.测试

ssh  redhat@192.168.0.22

ssh  redhat@127.0.0.1

pam_access.so根据主机、IP、用户、拒绝或允许访问。

 

pam_listfile.so的应用 (比pam_access.so更加详细控制)

1.首先查看它的帮助文件，看它的具体格式，参数如何

#less /usr/share/doc/pam-0.99.3.0/txts/README.pam_listfile

item        user,tty,group         说明列表文件中的内容

sense      allow,deny             拒绝或允许文件中的用户

file          指定一个文件，内容根据item项来添加

onerr       succeed,fail    当模块本身产生错误时，返回的值，如无法打开file指定的文件，一般设为succeed

2.将模块应用到sshd服务

将上面添加的pam_access.so清掉，然后在/etc/pam.d/sshd中添加（第一行）

auth       required   pam_listfile.so        item=user      sense=deny     file=/etc/denyuser onerr=succeed

注意添加的位置顺序，否则看不到效果

3.创建编缉列表文件

#echo “redhat” >/etc/denyuser

4.测试

#ssh -l redhat 192.168.0.22   失败

#ssh -l chinaitlab 192.168.0.22 成功

 

#w   显示已登录的用户及最近的一次操作