cockpit(Linux 서버 관리 도구)의 로컬 사용자 제한

cockpit은 로컬 사용자 인증을 위해 PAM(8)을 사용합니다.
PAM은 access입니다.conf(5)는 사용자/그룹/IP를 제한하기 때문에 이를 사용하여 cockpit에 로그인할 수 있는 사용자를 제한할 수 있습니다.

PAM 설정

설치 후 /etc/pam.d/cockpit 완료
적절한 편집기를 사용하여pam_ 편집access.소행을 추가합니다.accessfile=path/to/access.config없어도 괜찮아.지정하지 않으면 /etc/security/access.conf 를 사용합니다.
/etc/pam.d/cockpit

#%PAM-1.0
# this MUST be first in the "auth" stack as it sets PAM_USER
# user_unknown is definitive, so die instead of ignore to avoid subsequent modules mess up the error code
-auth      [success=done new_authtok_reqd=done user_unknown=die default=ignore]   pam_cockpit_cert.so
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
auth       optional     pam_ssh_add.so
account    required     pam_nologin.so
account    required     pam_access.so accessfile=/etc/security/cockpit_access.conf ★この行を追加
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    optional     pam_ssh_add.so
session    include      password-auth
session    include      postlogin

추가할 위치는 account include password-auth 이전이어야 합니다.
이 순서를 바꾸면 account include password-auth 에서 읽은password-auth에sufficient 줄이 포함되어 있기 때문에 인증에 성공한 후에 쓴 제한을 평가하지 않습니다.

access.conf 구성

accessfile에서 지정한 경로에access가 있습니다.conf(5) 형식으로 파일을 준비합니다.
예를 들어 cockpit 그룹을 만들고 이 그룹에 들어간 사용자만 로그인할 수 있도록 할 때 다음과 같이 하십시오.
/etc/security/cockpit_access.conf

-:ALL EXCEPT (cockpit):LOCAL

쓰기는 <permission>:<user or group>:<access>- <permission> "-"(허용) 또는 - (거부)
-user 또는 group 이름, ALL은 모든 사용자 또는 그룹을 나타내며, EXCEPT는 다음 사용자 그룹을 제외합니다.
- 그룹일 때 () 넣는 게 좋아요?
- ALL EXCEPT (cockpit) cockpit에 속하는 사용자를 제외한 모든 사용자를 대상으로
- <from> 액세스 소스
-cockpit 시 LOCAL만 사용(?)

확인

로그인Permission Denied 후 성공

Reference

이 문제에 관하여(cockpit(Linux 서버 관리 도구)의 로컬 사용자 제한), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/s11600228/items/92d71d89ca8cc9540193

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다