www.nhipsongcongnghe.net
File cấu hình này có dạng như sau:
< + or - > : : + : grant permission
- : deny permission
Với username list là người dùng hay nhóm người dùng, tty list là login qua console, host
list xác định các host hay domain. Chúng ta có thể sử dụng các từ khóa ALL=tất cả,
EXCEPT=trừ, LOCAL=cục bộ.
Ví dụ sau cho cấm osg login từ tất cả, và cho phép linet login từ xa.
account required pam_access.so
-:osg:ALL
+:linet:ALL EXCEPT LOCAL
pam_chroot.so:
Support module type :account; session; authentication
Dùng để chroot cho các user thiết lập trong /etc/security/chroot.conf
Ví dụ, tôi thực hiện chroot cho sshd để người dùng linet chỉ có quyền truy cập trong
/home/osg mà không có quyền truy cập đến các thư mục home của người dùng khác
Thêm dòng sau trong /etc/pam.d/sshd ( lưu ý trong /etc/sshd/sshd_config phải thiết lập
UsePAM = yes )
session required pam_chroot.so
_ pam_deny.so:
Support module type: account; authentication; password; session
Module này luôn trả về giá trị false. Vd nó được dùng trong /etc/pam.d/other để từ chối
mọi truy cập của người dùng khi truy cập vào các PAM-aware program mà không có file
cấu hình PAM
- Acount module type: Từ chối người dùng quyền truy cập vào hệ thống
#add this line to your other login entries to disable all accounts
login account required pam_deny.so
- Authentication module type: từ chối truy cập, thiết lập giá trị mặc định. vd trong
/etc/pam.d/other. Khi người dùng login vào hệ thống, đầu tiên sẽ gọi các module trong
/etc/pam.d/login ra và yêu cầu người dùng nhập thông tin tương ứng ( username,
password ), nếu các thông tin này không đáp ứng thì PAM sẽ gọi /etc/pam.d/other ra để
deny quyền truy cập.
#/etc/pam.d/other
