NFsec Logo

Zły czas pracy na konsoli

30/12/2009 w Bezpieczeństwo Brak komentarzy.  (artykuł nr 211, ilość słów: 249)

K

olejnym sposobem ograniczenia logowania się na lokalną konsolę serwera (jeśli w pliku /etc/login.defs opcja: PORTTIME_CHECKS_ENAB posiada ustawioną wartość „yes”) jest program porttime. Plik konfiguracyjny tego programu (/etc/porttime) zawiera listę terminali (tty), loginy użytkowników oraz czas pozwalający im na zalogowanie się na danym terminalu.

Reguły w tym pliku tworzone są poprzez trzy wcześniej wymienione pola oddzielone od siebie dwukropkiem „:„. Jeśli w którymś z pierwszych dwóch pól umieścimy gwiazdkę „*” będzie tyczyła się ona wszystkich trafień, czyli wszystkich użytkowników lub terminali. Trzecie pole składa się ze skrótu nazwy dnia oraz przedziału czasu wyrażanego w godzinach. Oprócz skrótów nazw siedmiu dni możemy także posłużyć się wpisem „Wk” – oznaczającym Weekend oraz „Al” – oznaczającym każdy dzień. Na przykład wpis:

*:agresor:Wk0900-2200

Oznacza, że użytkownik agresor może logować się z lokalnych terminali (np. od tty1 do tty6) w Weekendy od godziny 9:00 rano (AM) do godziny 10:00 wieczorem (PM). W przypadku kiedy chcemy, aby tylko użytkownik agresor, który posiada uprawnienia do stania się administratorem i sam administrator mogli logować się na konsoli serwera w każdym dniu i o każdej porze, a inni użytkownicy nie mają posiadać takiej możliwości to do pliku /etc/porttime dodajemy następujące wpisy:

*:root,agresor:Al0000-2400
*:*:

Powyższy wpis pozwala na dostęp tylko użytkownikowi root oraz agresor na każdą konsolę serwera w każdym czasie. Każdy inny użytkownik pasujący do drugiego wpisu (* – czyli wszyscy) nie posiada dostępu do wszystkich konsol serwera o każdej porze dnia i nocy. Stosując powyższą restrykcje musimy zapewnić dobrą synchronizację czasu na serwerze.

Więcej informacji: man porttime

Kategorie K a t e g o r i e : Bezpieczeństwo

Tagi T a g i : , , ,

Zostaw odpowiedź.

Musisz być zalogowany by móc komentować.