PAM-The Login access control table

PAM-The Login access control table

PAM-The Login access control table

محدود کردن دسترسی به server از طریق ماژول PAM

در یک محیط دیتا سنتر که server های ما قرار دارد و از طرفی امکان دسترسی به این

server ها میتواند از راه دور امکان پذیر باشد، لذا محدود کردن دسترسی کاربران به

serverها از نظر امنیتی مسئله ای مهم می باشد . 

اینکه آیا همه کاربران اجاره دسترسی و لاگین کردن به سیستم را بصورت remote

داشته باشند یا خیر یا اینکه چه کسانی اجازه این دسترسی را داشته باشند یک مسئله

مهم امنیتی به شمار می رود . 

بدین منظور در لینوکس فایلی وجود دارد بنام  “access.conf”  در مسیر etc/security/

که می توان در این فایل تعریف کنیم چه کاربرانی اجازه دسترسی به سیستم را خواهند

داشت و از دسترسی عموم جلوگیری نماییم .

فایل “access.conf” بصورت پیش فرض در هنگام نصب لینوکس در سیستم قرار دارد .

لینوکس با استفاده از این فایل ادمین را قادر می سازد که دسترسی کاربران به سیستم

جهت لاگین کردن را محدود کرده و ادمین بتواند مشخص کند چه کاربرانی و از طریق چه

ماشین ها یا IP ها یا شبکه هایی قادر به دسترسی به سیستم یا server مورد نظر هستند . 

 فراموش نکنید که کاربران می توانند از هر جایی بصورت remote یا مستقیم روی کنسول

به سیستم دسترسی داشته باشند . استفاده از access.conf و نحوه پیکربندی آن براحتی

در لینوکس انجام پذیر است .

در این مقاله به شما توضیح داده ایم که چگونه نحوه دسترسی کاربران به سیستم را

امن و محدود نمایید . 

مرحله اول 

در اولین قدم، اجازه دسترسی کلیه کاربران به سیستم را میگیریم . این اولین قدم در

سیاست امنیتی است . با این سیاست در واقع از این مسئله که ممکن است نام کاربری

را فراموش کرده باشیم یا اشتباه کرده باشیم جلوگیری می کنیم . 

 بدین منظور ابتدا فایل etc/security/access.conf/ را ویرایش کرده و خط زیر را در انتهای

فایل اضافه میکنیم :

 

-:ALL EXCEPT root mislinux:ALL

خط بالا می گوید که کلیه دسترسی ها به کنسول برای کلیه کاربران بجز کاربر root  و کاربر

mislinux  غیر مجاز است .

 با سیاست بالا از لاگین کردن کاربران به سیستم چه از راه دور و چه بصورت مستقیم روی

ماشین یاserver  جلوگیری میکنیم . یعنی کلیه کاربران در شبکه نمی توانند روی server ما

ssh کرده و shell  بگیرند . تنها root , mislinux  این اجازه را دارند .

در این سیاست گذاری حتی می توان اجازه لاگین کردن به سیستم را برای کاربرانی مثل

root , mislinux را منحصر به شبکه ای خاص کرد مثلا گفت که این کاربران فقط  می توانند

از ip address: 207.35.78.2 به سیستم متصل شوند . بدین منظور در فایل

etc/security/access.conf/   خط زیر را اضافه میکنیم :

 

  vi /etc/security/access.conf

  -:ALL EXCEPT root mislinux:207.35.78.2

-:ALL:LOCAL

خط دوم از نوشته بالا یعنی کلیه دسترسی ها از local  به سیستم برای کلیه کاربران حتی

برای کاربر root نیز غیرمجاز می باشد . 

در واقع در این حالت اگر نیاز دارید که به سیستم بعنوان root لاگین کنید ابتدا نیاز دارید که

بعنوان کاربر mislinx از طریق ip address: 207.35.78.2 لاگین کرده و سپس با دستور su 

به root تغییر کاربری دهید . 

  مرحله ۲

 برای اطمینان از این موضوع که حتما سیاست گذاری شما در فایل access.conf در هنگام

لاگین کردن به سیستم در لینوکس اجرا میشود باید در فایل etc/pam.d/system-auth/

تغییراتی بصورت زیر بوجود آورید :

 

 vi /etc/pam.d/system-auth 

 account    required     /lib/security/pam_access.so

بعد از ویرایش فایل etc/pam.d/system-auth/ بصورت بالا ؛ این فایل بصورت زیر در خواهد آمد :

 

 /etc/pam.d/system-auth  

#%PAM-1.0

auth      required    /lib/security/pam_env.so

auth      sufficient  /lib/security/pam_unix.so likeauth nullok

auth      required    /lib/security/pam_deny.so

account   required    /lib/security/pam_unix.so

account   required    /lib/security/pam_access.so

password  required    /lib/security/pam_cracklib.so retry=3 minlen=12 type=

password  sufficient  /lib/security/pam_unix.so nullok use_authtok md5 shadow

password  required    /lib/security/pam_deny.so

session   required    /lib/security/pam_limits.so

session   required    /lib/security/pam_unix.so

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *