Domanda:
Come applicare una politica che consenta nuovi accessi ssh solo a un'ora del giorno particolare. Al di fuori di queste finestre di accesso non devono essere consentiti nuovi accessi ssh.
Soluzione:
Descrizione della risorsa PAM
I tempi di accesso possono essere controllati utilizzando il metodo di autenticazione dei plug-in Linux (PAM) pam_time.so modulo. Il modulo pam_time.so applica le restrizioni di accesso specificate nel file /etc/security/time.conf . Quindi le finestre di accesso desiderate devono essere definite in quel file.
Esempio di norme
Utilizzare un esempio è il modo migliore per spiegare il funzionamento del modulo pam_time.so. Vorremmo limitare l'accesso remoto dell'utente john al sistema solo tra le 13:00 e le 14:00 ogni giorno. Per fare ciò, aggiungi la riga seguente al file /etc/security/time.conf:
# vi /etc/security/time.conf sshd;*;john;Al1300-1400
I campi sono separati da un punto e virgola (;). I campi sono:
- Il nome del servizio da controller, qui viene utilizzato sshd.
- Il terminale tty che viene controllato. Questo campo ci consente, ad esempio, di limitare la restrizione a un determinato terminale. Il carattere jolly "*" significa applicare la restrizione indipendentemente dal terminale utilizzato per il tentativo di accesso.
- Un elenco degli utenti a cui si applica questa limitazione. La nostra restrizione di esempio si applica solo all'utente john.
- Un elenco di orari a cui si applica la restrizione. Ogni intervallo di tempo è un punto esclamativo facoltativo (!) per negare l'intervallo di tempo, seguito da uno o più nomi di giorni di due lettere, seguito da un intervallo di tempo che utilizza un orologio di 24 ore. Il nome Wk significa qualsiasi giorno della settimana; il nome Wd significa giorno di fine settimana; e Al significa qualsiasi giorno. Il nostro esempio concede l'autorizzazione tra le 13:00 e le 14:00, in qualsiasi giorno della settimana.
Attiva la politica
Aggiungi una riga al file di servizio /etc/pam.d/sshd che dice:
# vi /etc/pam.d/sshd account required pam_time.so
La riga deve essere raggruppata con altre righe conto. L'ordine delle righe nei file di autenticazione PAM è importante:gli elementi vengono applicati nell'ordine in cui appaiono le righe nel file. Aggiungi la nuova riga come ultima riga del conto. Ciò garantisce che le informazioni su un'applicazione basata sul tempo non vengano divulgate a estranei. Nel nostro esempio:
# vim /etc/pam.d/sshd #%PAM-1.0 ... # Additionally, check for any account-based restrictions using pam_time.so account required pam_nologin.so account include password-auth account required pam_time.so ...Prestare estrema attenzione quando si apportano modifiche ai file di configurazione PAM. Una modifica errata o un errore di battitura possono aprire completamente il sistema a qualsiasi utente o bloccare tutti gli utenti (incluso root) fuori dal sistema.