login 가능한 account 제한

LDAP이나 AD, NIS등으로 인증 통합을 했을 경우, login이 필요없는 account가 대부분 입니다. 또는 서버마다 경우가 틀릴 수 있습니다.

이런 경우, pam_access 모듈을 이용하여 필요한 account만 login을 가능하도록 설정 하는 방법에 대하여 기술 합니다.

참고 LDAP 연동시에는 LDAP의 host attribute를 이용하여 host 별로 인증을 제한할 수 있으며, 안녕 리눅스의 LDAP 인증 통합 문서에서 따로 다루게 됩니다. 그러므로 LDAP을 사용하여 인증 통합시에는 이 방법 보다는 LDAP에서의 제어를 이용 하십시오.

[root@an3 ~]$ cat /etc/pam.d/password-auth-ac
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_tally2.so deny=4 unlock_time=120
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok nodelay try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_access.so
account     required      pam_tally2.so
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=1 minlen=8 minclass=3
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=4
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
[root@an3 ~]$

다음, /etc/security/access.conf 에서 login 가능한 account, group 설정을 하도록 합니다.

[root@an3 ~]$ cat /etc/security/access.conf
+:root wheel:ALL
+:emer kss oops:ALL
+:kldp:LOCAL
-:ALL:ALL
[root@an3 ~]$

문법은 다음과 같이 3개의 field로 구성 됩니다.

[CONDITION]:[USER or GROUP]:[ORIGIN]

문법에 대한 자세한 예제는 /etc/security/access.conf를 참고 하십시오.

CONDITION
- + 또는 -로 설정.
- +는 PERMIT
- -는 DENY를 의미
USER or GROUP
- user 또는 group 을 기록
- 공백 문자를 구분자로 복수 등록 가능
- user와 gruop을 따로 구분하지 않기 때문에 동일한 user와 gruop간에 의도치 않은 결과 발생 가능하니 주의해야 함
- netgroup의 경우에는 @를 앞에 붙여줍니다. (@netgroup)
ORIGIN
- 접근 시도 장소(?)
- tty name, IPv4, IPv6, domain name, LOCAL, NONE, ALL 을 사용 가능

상단의 /etc/security/access.conf 의 의미는 다음과 같습니다.

root와 wheel group login permit
emer/kss/oops account or group login permit
kldp account or group은 LOCAL에서만 permit
1~3 조건에 해당하지 않으면, 모두 deny

PreviousShell login Control (with PAM)Nextlogin account chroot

Last updated 5 years ago

Was this helpful?

[root@an3 ~]$ cat /etc/pam.d/password-auth-ac #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_tally2.so deny=4 unlock_time=120 auth required pam_env.so auth sufficient pam_unix.so nullok nodelay try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth required pam_deny.so account required pam_access.so account required pam_tally2.so account required pam_unix.so account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 1000 quiet account required pam_permit.so password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=1 minlen=8 minclass=3 password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=4 password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so -session optional pam_systemd.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so [root@an3 ~]$