禁止某些用户使用ssh远程登录

在第一行加入 auth required pam_listfile.so item&＃61;user sense&＃61;deny file&＃61;/etc/sshdusers onerr&＃61;succeed&＃xff0c;注意一定要在第一行&＃xff0c;因为pam中执行顺序是上面优先

[root&＃64;clone2 ~]# ssh clone1.rhel.com
root&＃64;clone1.rhel.com&＃39;s password:
Permission denied, please try again.
root&＃64;clone1.rhel.com&＃39;s password:
Permission denied, please try again.
root&＃64;clone1.rhel.com&＃39;s password:
Permission denied (publickey,gssapi-with-mic,password).

[wp&＃64;clone2 ~]$ ssh clone1.rhel.com
wp&＃64;clone1.rhel.com&＃39;s password:
Permission denied, please try again.
wp&＃64;clone1.rhel.com&＃39;s password:
Permission denied, please try again.
wp&＃64;clone1.rhel.com&＃39;s password:
Permission denied (publickey,gssapi-with-mic,password).
两个用户都无法使用ssh了。呵呵&＃xff0c;目的达到了

                    pam_listfile的使用

说明&＃xff1a;
pam_listfile       应用程序对文件的访问控制

[root&＃64;station203 pam.d]# uname -a
Linux station203.example.com 2.6.18-53.el5 #1 SMP Wed Oct 10 16:34:02 EDT 2007 i686 i686 i386 GNU/Linux

首先先man一下再说。
[root&＃64;station203 security]# man pam_listfile
...........省略..............

所属类型&＃xff1a;auth、account、password、session

用法&＃xff1a;
pam_listfile.so item&＃61;[tty|user|rhost|ruser|group|shell]
       sense&＃61;[allow|deny]
       file&＃61;/path/filename
       onerr&＃61;[succeed|fail]
       [apply&＃61;[user|&＃64;group]]

item&＃xff1a;设置访问控制的对象类型。
sense&＃xff1a;用来指定当在保存“item”对象的文件中找不到item指定的对象时的动作方式&＃xff0c;如果在文件中找不到相应的对象&＃xff0c;则执行相

反的动作。
file:指定保存有“item”对象的文件位置。
onerr&＃xff1a;用来指定当某类事件&＃xff08;如无法打开配置文件&＃xff09;发生时的返回值。
apply&＃xff1a;用指定使用非用户和组类别时&＃xff0c;这些规则所适用的对象。当item&＃61;[user|ruser|group]时&＃xff0c;这个选项没有任何意义&＃xff0c;只有当

item&＃61;[tty|rhost|shell]时才有意义。

实例&＃xff1a;
先安装好vsftp&＃xff0c;我用这个软件做试验。
[root&＃64;station203 pam.d]# rpm -qa | grep vsftp
vsftpd-2.0.5-10.el5
[root&＃64;station203 pam.d]# service vsftpd start           ## 直接启动

[root&＃64;station203 pam.d]# vim vsftpd

#%PAM-1.0
session    optional     pam_keyinit.so    force revoke
auth       required     pam_listfile.so item&＃61;user sense&＃61;deny file&＃61;/etc/vsftpd/ftpusers onerr&＃61;succeed
## 试着解读上面这行。

## 说明&＃xff0c;vsftp默认允许localuser登陆ftp&＃xff0c;我的系统已经有aaa&＃xff0c;bbb两用户。

[root&＃64;station203 pam.d]# vim /etc/vsftpd/ftpusers
## 在最后加上aaa

[root&＃64;station203 pam.d]# ftp 192.168.1.203           ## aaa用户测试登陆ftp&＃xff0c;输入正确密码&＃xff0c;登陆失败
Connected to 192.168.1.203.
220 (vsFTPd 2.0.5)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (192.168.1.203:root): aaa
331 Please specify the password.
Password:
530 Login incorrect.
Login failed.

[root&＃64;station203 pam.d]# ftp 192.168.1.203           ## bbb用户测试登陆ftp&＃xff0c;输入正确密码&＃xff0c;登陆成功
Connected to 192.168.1.203.
220 (vsFTPd 2.0.5)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (192.168.1.203:root): bbb
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.

[root&＃64;station203 pam.d]# vim vsftpd                ## 如果我把sense&＃61;deny改成allow会变成什么样子&＃xff1f;

#%PAM-1.0
session    optional     pam_keyinit.so    force revoke
auth       required     pam_listfile.so item&＃61;user sense&＃61;allow file&＃61;/etc/vsftpd/ftpusers onerr&＃61;succeed

## 修改好后&＃xff0c;vsftp只允许/etc/vsftpd/ftpusers文件中的用户登陆。
## 试验昨晚&＃xff0c;改回deny吧。一个插曲&＃xff0c;昨天做的pam_succeed_if试验&＃xff0c;忘记改回来&＃xff0c;结果今天开机root登陆不上&＃xff0c;只能进单用户改

回来。

实例二:
[root&＃64;station203 pam.d]# useradd -s /bin/csh ccc       ## 新建用户ccc&＃xff0c;他的登录shell是csh
[root&＃64;station203 pam.d]# passwd ccc
[root&＃64;station203 pam.d]# vim /etc/loginshell           ## 创建一个文件&＃xff0c;内容如下
/bin/csh
## 注意&＃xff0c;这里要写绝对路径
[root&＃64;station203 pam.d]# vim system-auth             ## 添加下面这行&＃xff0c;想象会怎么样&＃xff1f;
auth        required      pam_listfile.so item&＃61;shell sense&＃61;deny file&＃61;/etc/loginshell onerr&＃61;succeed

测试&＃xff1a;
用ccc用户登陆&＃xff0c;失败&＃xff0c;查看/var/log/secure时pam_listfile起作用了。
假如我又把这行的sense&＃61;deny改成allow会怎么样&＃xff1f;

OK&＃xff0c;pam_listfile的用法就这些&＃xff0c;其他的选项也差不多&＃xff0c;不写了。

Pluggable Authentication Modules for Linux 可插拨认证模块
当用户访问服务器&＃xff0c;服务程序将请求发送到PAM模块&＃xff0c;PAM模块根据服务名称在/etc/pam.d目录下选择一个对应的服务文件&＃xff0c;最后根据服务文件的内容选择具体的PAM模块进行处理。

通过ldd查看服务程序在编译时是否使用了libpam.so&＃xff0c;决定服务程序是否支持PAM认证。
具体的pam文件放在/lib/security目录下&＃xff0c;服务文件放在/etc/pam.d目录下

PAM服务文件格式
eg:
auth required pam_security.so
auth required pam_stack.so service&＃61;system-auth
service表示调用子服务文件

Module-type&＃xff1a;
auth 检查用户和密码&＃xff0c;分配权限
account 检查账号是否过期&＃xff0c;是否有权登录
session 从用户登录成功到退出的会话控制
password 控制用户改密码的过程
control-flag:
required 要求矣须通过&＃xff0c;否则结束退出
requisite 如果不通过还可继续向下认证&＃xff0c;后面有一通过即可。
sufficient 通过则不需要向下认证
optional 可选项

常用PAM服务文件
login -------/etc/pam.d/login
ipop3d -------/etc/pam.d/pop
vsftpd -------/etc/pam.d/ftp&＃xff08;编译安装&＃xff09;或/etc/pam.d/vsftpd&＃xff08;rpm安装&＃xff09;
sshd -------/etc/pam.d/sshd
su -------/etc/pam.d/su
imap -------/etc/pam.d/imap

/lib/security目录下&＃xff0c;各个pam模块的作用&＃xff0c;可参考/usr/share/doc/pam-0.99.3.0下的帮助文件。
相同类型Module-type组成一个堆栈。

常用PAM模块
pam_access.so 控制访问者地址与账号名称
pam_listfile.so 控制访问者的账号名称或登录位置
pam_limits.so 控制为用户分配的资源
pam_rootok.so 对管理员(uid&＃61;0)无条件允许通过
pam_userdb.so 设定独立用户账号数据库认证

pam_access.so模块的使用―――控制访问sshd服务的主机和用户
1.修改需使用这个模块的服务文件&＃xff0c;如sshd: /etc/pam.d/sshd添加
account required pam_access.so
2.修改模块的配置文件
/etc/security/access.conf
- : redhat : ALL EXCEPT 192.168.0. &＃xff08;格式&＃xff09;
3.测试
ssh
ssh
pam_access.so根据主机、IP、用户、拒绝或允许访问。

pam_listfile.so的应用 (比pam_access.so更加详细控制)
1.首先查看它的帮助文件&＃xff0c;看它的具体格式&＃xff0c;参数如何
#less /usr/share/doc/pam-0.99.3.0/txts/README.pam_listfile
item user,tty,group 说明列表文件中的内容
sense allow,deny 拒绝或允许文件中的用户
file 指定一个文件&＃xff0c;内容根据item项来添加
onerr succeed,fail 当模块本身产生错误时&＃xff0c;返回的值&＃xff0c;如无法打开file指定的文件&＃xff0c;一般设为succeed
2.将模块应用到sshd服务
将上面添加的pam_access.so清掉&＃xff0c;然后在/etc/pam.d/sshd中添加&＃xff08;第一行&＃xff09;
auth required pam_listfile.so item&＃61;user sense&＃61;deny file&＃61;/etc/denyuser onerr&＃61;succeed
注意添加的位置顺序&＃xff0c;否则看不到效果
3.创建编缉列表文件
#echo “redhat” >/etc/denyuser
4.测试
#ssh -l redhat 192.168.0.22 失败
#ssh -l chinaitlab 192.168.0.22 成功

pam_limits.so的应用
1.查看帮助文件&＃xff0c;确认它的配置文件位置&＃xff0c;参数模式
#less /usr/share/doc/pam-0.99.3.0/txt/README.pam_limits

用户名或组名
soft软限制
hard硬限制&＃xff08;不能达到的&＃xff09;
限制的内容&＃xff0c;fsize文件大小&＃xff0c;nproc最大进程数&＃xff0c;maxlogins用户登录次数
2.将模块应用到sshd服务&＃xff0c;修改服务文件
#vi /etc/pam.d/sshd 添加&＃xff1a;
session required pam_limits.so
session 控制用户进程的登录次数&＃xff0c;文件大小&＃xff0c;通过控制用户的会话进程来限制用户使用的资源
3.编缉pam_limits.so的配置文件/etc/security/limits.conf
redhat hard maxlogins 2
限制redhat登录到sshd服务的次数,不能达到2。
4.测试
#ssh -l redhat 192.168.0.22 第1个
#ssh -l redhat 192.168.0.22 第2个
表示同时最多可以有1个redhat用户登录

pam_rootok.so的应用
#chfn 改变用户的finger信息
普通用户使用这个命令修改信息时&＃xff0c;需要输入密码才能使用&＃xff0c;而root用户则不需要。
分析&＃xff1a;
#more /etc/pam.d/chfn
第一行为auth sufficient pam_rootok.so
因为chfn的pam服务文件的第一行应用了pam_rootok.so模块&＃xff0c;所以当root用户使用chfn时不需验证&＃xff0c;不需要再往下&＃xff0c;直接通过。

pam_userdb.so模块需要一个db数据库储存用户信息&＃xff0c;具体如何使用可参考前面的vsftpd虚拟用户。