Permitir/negar autenticação para determinados grupos
Dica publicada em Linux / Segurança
Permitir/negar autenticação para determinados grupos
AVISO!
Esta dica, se mal executada, pode fazer com que não seja mais possível logar no sistema da maneira convencional. Então, cuidado! Aconselho o uso de uma máquina virtual para fazer os testes.
Para esse feito, usaremos um módulo do PAM chamado pam_listfile, que permite realizar muitas coisas, então, para mais detalhes:
man pam_listfile
Se você precisar permitir ou negar autenticação(login) de usuários pertencentes a determinados grupos, siga os seguintes passos:
1. Crie um arquivo, digamos /etc/login.group.allowed ou /etc/login.group.denied, contendo uma lista de todos os grupos que deseja permitir/negar autenticação (um por linha), exemplo:
/etc/login.groups.allowed:
2. Edite o arquivo /etc/pam.d/common-auth, para quem usa Debian/Ubuntu, ou /etc/pam.d/system-auth para outras distros, e acrescente no INÍCIO do arquivo o seguinte, caso queira permitir o login:
Ou, para negar:
E pronto. No exemplo, somente os usuários pertencentes ao grupo bruno podem se autenticar no sistema. Isso é útil caso você tenha uma política de restrição de logins no seu ambiente de trabalho.
Até a próxima!
Esta dica, se mal executada, pode fazer com que não seja mais possível logar no sistema da maneira convencional. Então, cuidado! Aconselho o uso de uma máquina virtual para fazer os testes.
Para esse feito, usaremos um módulo do PAM chamado pam_listfile, que permite realizar muitas coisas, então, para mais detalhes:
man pam_listfile
Se você precisar permitir ou negar autenticação(login) de usuários pertencentes a determinados grupos, siga os seguintes passos:
1. Crie um arquivo, digamos /etc/login.group.allowed ou /etc/login.group.denied, contendo uma lista de todos os grupos que deseja permitir/negar autenticação (um por linha), exemplo:
/etc/login.groups.allowed:
bruno
2. Edite o arquivo /etc/pam.d/common-auth, para quem usa Debian/Ubuntu, ou /etc/pam.d/system-auth para outras distros, e acrescente no INÍCIO do arquivo o seguinte, caso queira permitir o login:
auth required pam_listfile.so onerr=fail item=group sense=allow file=/etc/login.group.allowed
Ou, para negar:
auth required pam_listfile.so onerr=fail item=group sense=deny file=/etc/login.group.denied
E pronto. No exemplo, somente os usuários pertencentes ao grupo bruno podem se autenticar no sistema. Isso é útil caso você tenha uma política de restrição de logins no seu ambiente de trabalho.
Até a próxima!