La différence entre /etc/pam.d/login et /etc/pam.d/system-auth?

11

Je veux configurer securetty pour limiter directement l'accès root. Maintenant, je suis clair si j'ajoute:

auth        required      pam_securetty.so

dans /etc/pam.d/system-auth, et ne garder que "console" dans / etc / securetty, la connexion ssh sera également interdite. Et si j'ajoute:

auth        required      pam_securetty.so

dans /etc/pam.d/login, et ne garder que "console" dans / etc / securetty, la connexion ssh ne sera pas interdite.

Maintenant, je ne suis pas très clair sur la différence entre /etc/pam.d/login et /etc/pam.d/system-auth. Quelqu'un pourrait-il me donner une référence ou un guide? Merci beaucoup!

PS /etc/pam.d/login vs. /etc/pam.d/system-auth donne également un peu à ce sujet, mais je veux en savoir plus pour me rendre plus clair.

linux security rhel5 pam zhaojing
la source
1
Pourriez-vous être plus précis? Qu'est-ce qui vous manque dans le lien? Il explique les différences entre les deux fichiers.
Christian
Christian, oui, en fait, le lien me fait comprendre le problème. Mais je veux savoir s'il y a plus de différence parce que je ne suis pas sûr si la réponse "la connexion est juste pour la console locale (PAS la connexion à distance)" dans le lien est correcte.
zhaojing

Réponses:

8

Le /etc/pam.d/system-authfichier est utilisé par Red-Hat et les systèmes similaires pour regrouper les politiques de sécurité communes. Il est souvent inclus dans d'autres /etc/pam.dfichiers de stratégie où ces stratégies communes sont requises.

Lors de l'accès à un système via ssh via sshd, le /etc/pam.d/sshdfichier de stratégie est consulté. Ce fichier inclut /etc/pam.d/system-authdonc vos modifications /etc/pam.d/system-authsont valides.

Le fichier /etc/pam.d/loginest consulté lorsque vous vous connectez via le /bin/loginprogramme, par conséquent, toute modification de celui-ci affecte uniquement /bin/login.

Iain
la source
4
  • login - règles pour le local (connexion à la console)
  • system-auth - règles communes de nombreux services
  • password-auth - règles communes pour de nombreux services distants
  • sshd - règles pour le démon SSHD uniquement
Benny
la source
3

Maintenant, je ne suis pas très clair sur la différence entre /etc/pam.d/login et /etc/pam.d/system-auth. Quelqu'un pourrait-il me donner une référence ou un guide?

OpenSSH utilise le module /etc/pam.d/sshd. /etc/pam.d/sshd:

auth       include      system-auth

OpenSSH n'utilise pas /etc/pam.d/login pour l'authentification. /etc/pam.d/login et /etc/pam.d/system-auth sont différents modules pour différents programmes.

bindbn
la source
bindbn, merci pour vos explications et suggestions. J'ai compris "etc / pam.d / login et /etc/pam.d/system-auth est différents modules pour différents programmes".
zhaojing