Der Unterschied zwischen /etc/pam.d/login und /etc/pam.d/system-auth?

11

Ich möchte securetty so konfigurieren, dass der direkte Root-Zugriff eingeschränkt wird. Jetzt ist mir klar, wenn ich hinzufüge:

auth        required      pam_securetty.so

Wenn Sie in /etc/pam.d/system-auth nur "console" in / etc / securetty behalten, ist die SSH-Anmeldung ebenfalls untersagt. Und wenn ich hinzufüge:

auth        required      pam_securetty.so

in /etc/pam.d/login und nur "Konsole" in / etc / securetty behalten, wird die SSH-Anmeldung nicht verboten.

Jetzt ist mir der Unterschied zwischen /etc/pam.d/login und /etc/pam.d/system-auth nicht ganz klar. Könnte mir jemand eine Referenz oder einen Leitfaden geben? Danke vielmals!

PS /etc/pam.d/login vs. /etc/pam.d/system-auth geben auch ein wenig darüber, aber ich möchte mehr bekommen, um mich klarer zu machen.

linux security rhel5 pam zhaojing
quelle
1
Könnten Sie genauer sein? Was fehlt dir im Link? Es erklärt die Unterschiede zwischen den beiden Dateien.
Christian
Christian, ja, tatsächlich macht mich der Link über das Problem klar. Ich möchte jedoch wissen, ob es weitere Unterschiede gibt, da ich nicht sicher bin, ob die Antwort "Anmeldung nur für lokale Konsole (NICHT Remote-Anmeldung)" im Link richtig ist.
Zhaojing

Antworten:

8

Die /etc/pam.d/system-authDatei wird von Red-Hat und ähnlichen Systemen verwendet, um allgemeine Sicherheitsrichtlinien zu gruppieren. Es ist häufig in anderen /etc/pam.dRichtliniendateien enthalten, in denen diese allgemeinen Richtlinien erforderlich sind.

Beim Zugriff auf ein System über ssh über sshd wird die /etc/pam.d/sshdRichtliniendatei konsultiert. Diese Datei enthält, /etc/pam.d/system-authdamit Ihre Änderungen /etc/pam.d/system-authgültig sind.

Die Datei /etc/pam.d/loginwird beim Anmelden über das /bin/loginProgramm konsultiert , daher wirken sich Änderungen nur darauf aus /bin/login.

Iain
quelle
4
  • Login - Regeln für lokale (Konsolen-Login)
  • Systemauthentifizierung - gemeinsame Regeln für viele Dienste
  • Passwortauthentifizierung - allgemeine Regeln für viele Remotedienste
  • sshd - Regeln nur für SSHD-Daemon
Benny
quelle
3

Jetzt ist mir der Unterschied zwischen /etc/pam.d/login und /etc/pam.d/system-auth nicht ganz klar. Könnte mir jemand eine Referenz oder einen Leitfaden geben?

OpenSSH verwendet das Modul /etc/pam.d/sshd. /etc/pam.d/sshd:

auth       include      system-auth

OpenSSH verwendet /etc/pam.d/login nicht zur Authentifizierung. /etc/pam.d/login und /etc/pam.d/system-auth sind verschiedene Module für verschiedene Programme.

bindbn
quelle
bindbn, danke für deine erklärungen und vorschläge. Ich habe Ihre Bedeutung "etc / pam.d / login und /etc/pam.d/system-auth ist verschiedene Module zu verschiedenen Programmen".
Zhaojing