[sage] Kann man den Login mit Deamon-Accounts effektiv verhindern?
Florian Streibelt
florian.streibelt at guug.de
Sat Oct 5 14:32:49 CEST 2013
* Florian Streibelt <florian at f-streibelt.de>:
> >Für Erleuchtung meiner beschränkten Kenntnisse bin ich dankbar.
>
> Genau für sowas wurde PAM entwickelt....
So, in der Kürze liegt zwar oft die Würze, aber ich hab die mail vom
Krankenbett aus geschrieben, daher war sie noch ein wenig kürzer.
Unter Linux haben wir seit einigen Jahren mittlerweile pam, das sehr Dienste
erweist, um solche Anforderungen zu lösen.
Ein Ratschlag: Was auch immer man in /etc/pam.d/ tut - bitte vorher ein Backup
machen und alles testen.
Unter Debian ist der Default ACCEPT und es werden in der Konfiguration
relative Sprünge verwendet, wenn man da nicht aufpasst, kann man sich danach
mit beliebigem Passwort als root anmelden. Been there, done that - war kein
Spaß.
In dem Verzeichnis gibt es für die verschiedenen Dienste eine
Konfigurationsdatei - den Namen sucht sich jeder Dienst bei der
Authentifizierung selbst aus. Dort kann man dann für jeden Dienst die
Konfiguration anpassen, per Default bedienen die sich alle bei den 'common'
Dateien, die meistens auch passen.
Was man hier aber z.B. tun kann, ist dem imap von dovecot beizubringen alle
passwörter zu akzeptieren, wenn die Verbindung von localhost kommt. Praktisch
zum migrieren von Mailboxen via imap ohne die Kennwörter der User resetten zu
müssen. (Webmail dann aber bitte abschalten, sonst kann da jeder ran.)
Oder eben bestimmte User oder Gruppen von bestimmten Diensten aussperren.
Hier ein Beispiel mit ssh:
http://www.cyberciti.biz/tips/linux-pam-configuration-that-allows-or-deny-login-via-the-sshd-server.html
Obacht: Wie gesagt, debian benutzt da relative Sprünge - am besten erstmal auf
einer VM testen das Ganze.
Grüße,
Florian
--
Florian Streibelt, Dipl.-Inf. Umsatzsteuerbefreit nach §19 UStG
Heinrich-Heine Str. 2, 10179 Berlin e-mail: info at streibelt.net
GnuPG-key: FEAC 944D 82ED DFDB 3F67 mobile: +49 173 475 39 71
C855 BCFE 7A83 1FD8 7CFB fax: +49 32 22683 6666
More information about the SAGE
mailing list