这个涉及到有点广泛,在安全性方面,Linux内核提供了经典的Unix自主访问控制(root
用户、用户ID安全机制), 以及部分支持了POSIX1e标准草案中的Capabilities安全机制。自主访问控制(Discretionary Access Control,DAC)是指主体对
客体的访问权限是由客体的属主或超级用户决定的,而且此权限一旦确定,将作为以后判断主体对客体是否有及有什么权限的惟一依据。只有客体的属主或超级用户才有权更改这些权限。传统Linux
系统提供DAC支持,客体在Linux系统当中主要是指文件、目录等系统资源,主体是指访问这些资源的用户或进程。控制粒度为客体的拥有者、属组和其他人。简单说,1.文件系统及访问权限 2用户和账号管理。3.系统审计使用下面命令,查看系统是否含有pam_tally2so模块,如果没有就需要使用pam_tallyso模块,两个模块的使用方法不太一样,需要区分开来。
编辑系统/etc/pamd/system-auth 文件,一定要在pam_envso后面添加如下策略参数:
上面只是限制了从终端su登陆,如果想限制ssh远程的话,要改的是/etc/pamd/sshd这个文件,添加的内容跟上面一样!
编辑系统/etc/pamd/sshd文件,注意添加地点在#%PAM-10下一行,即第二行添加内容
ssh锁定用户后查看:
编辑系统 /etc/pamd/login 文件,注意添加地点在#%PAM-10的下面,即第二行,添加内容
tty登录锁定后查看:
编辑 /etc/pamd/remote文件,注意添加地点在pam_envso后面,参数和ssh一致
评论列表(0条)