Timeout e restrição no login via console

[candrecn]

Caros,

Existe algum meio de restringir qual ususario pode e qual não pode logar no console na frente da maquina?

Isso sem ser pelo parametro shell do passwd ??
Tem o arquivo /etc/nologin, para não deixar nenhum login q nao seja o root, mas quero um que deixe apenas quem eu escolher.

E queria também colocar timeout no console, se o cara ficasse sem fazer nada por 1 minuto, desse logout automaticamente./

Ideias?

[candrecn]

up

[casper-linux]

Candrecn,

Para colocar o tempo máximo de inatividade adicione a seguinte variavel no seu arquivo /etc/profile

TMOUT=60


Sendo o tempo em segundos

Valeu

Fabrício

[1c3m4n]

nao sei se serve, mas se vc quiser bloquear qq tipo de acesso ao sistema seja remoto ou local eh soh fazer oq vc tinha flado mesmo, edita o /etc/passwd e onde tem o shell dele, troca para /sbin/nologin

NOTA: isso nao vai bloquear email,etc.. soh nao vai deixar logar na shell

[candrecn]

nao sei se serve, mas se vc quiser bloquear qq tipo de acesso ao sistema seja remoto ou local eh soh fazer oq vc tinha flado mesmo, edita o /etc/passwd e onde tem o shell dele, troca para /sbin/nologin

NOTA: isso nao vai bloquear email,etc.. soh nao vai deixar logar na shell

Na verdade o que eu queria era algo tipo o sshd, tipo allowusers X,Y,Z.....

o 1c3 ja disse...alterando o shell dos users para /sbin/nologin eles não conseguiram logar e utilizar seus sistema... então para os usuarios que vc queira liberar o acesso vc podera deixar /bin/bash ....

[candrecn]

o 1c3 ja disse...alterando o shell dos users para /sbin/nologin eles não conseguiram logar e utilizar seus sistema... então para os usuarios que vc queira liberar o acesso vc podera deixar /bin/bash ....

EU MESMO já disse, que conheço a opção de alterar o shell dos users.
Queria saber se existe ALTERNATIVA para isso, bem, vou explicar o caso para que entendam que isso não é uma opção util para o meu caso.

Tenho um servidor de autenticação LDAP. TODOS os usuarios (quase 2000), possuem bash, pois cada um autentica na sua estacao Linux e acessa seu home exportado via NFS. até ai lindo... Acontece, que outros ervidores tambem autenticam na mesma base LDAP, sendo que eu não gostaria de permitir que qualquer desses 2000 usuarios, que por um acaso do destino chegassem ao console pudessem autenticar por eles terem o bash configurado, até ai tudo bem pois o meu "su" é limitado para apenas alguns usuarios, via ssh apenas alguns usuarios também. Mas que não queria nem que o usuario chegasse na frente do console e conseguisse logar com o usuario dele no servidor.

Sakaram? :good:

[1c3m4n]

E novamente vamos falar, vc tem que alterar o bash dele no arquivo de senhas! não tem outra maneira pra bloquear acesso local

como fazer isso?

abre o arquivo com seu editor preferido e altere onde tem /bin/bash para /sbin/nologin

se não quiser editar 1 por 1, da pra fazer uma substituicao por sed, mas ai vc vai ter q filtrar os usuarios que vc nao quer q percam o acesso.

[lacierdias]

Acho q este figura quer q os caras tenho apenas acesso remoto via ssh mas se ele sentar na frete do pc ele não consegue logar...
Qual será a utilidades disto..rsrsrsr
Abraço

Acho q este figura quer q os caras tenho apenas acesso remoto via ssh mas se ele sentar na frete do pc ele não consegue logar...
Qual será a utilidades disto..rsrsrsr
Abraço

Genio :P

[candrecn]

Bem se a unica forma é mudando o shell otimo, não precisa ficar repetindo o tempo todo pois ISSO EU SEI FAZER, mas NÃO me é util... façam o FAVOR de tentar entender o que eu escrevi... pois o que eu não preciso é de um wannabe que não entendeu porra nenhuma com uma foto de paspalho ficar soltando piadinha sem entender.

Vou DESENHAR pela ultima vez, se ainda assim não entenderem a utilidade, desisto...

1) Tenho base LDAP com 2000 usuarios, todos com BASH e todos PRECISAM de BASH no shell, TODOS, ok? Já que TODOS logam nas suas respectivas estações Linux... certo? Dentro desses 2000 usuarios, tenho Domain Users e Domain Admins..etc

2) Tenho 4 servidores que autenticam os usuarios nessa mesma base LDAP de 2000 usuarios. via SSH consigo dizer que nesses 4 servidores apenas A, B e C(usuarios admins), logam no servidor via SSH (graças ao allowusers) apesar de 2000 terem BASH. Até ai OTIMO.

3) O que eu quero é MUITO simples: É que TODOS esses 2000 usuarios continuem com seus BASHs, e assim como no SSH eu possa dizer que apenas A, B e C, possam logar na frente do servidor, no console, com as mãozinhas no teclado, pois via ssh tá ok, só loga quem eu quero. Mas por questões de segurança não quero nem que em uma remota possibilidade um usuario qualquer possa logar em algum desses servidores com o usuario dele por mais que ele não consiga fazer "quase nada".

Não é muito dificil de entender, ou é? 2000 usuarios PRECISAM de BASH, mas não quero que esses 2000 loguem no servidores que autenticam na mesma base, quero apenas que 3 loguem no console, porque via SSH isso já está OK.




ps: Agora se não sabem se tem outra forma de resolver é só falar "Não tem como fazer (ponto)" ou "Não sei se tem outro jeito". Agora se não quiserem ajudar, basta não responder, mas também não venham com babaquisse, tou pedindo ajuda para quem sabe responder e tem vontade, ou quem já quis manter um nivel decente de segurança em uma estrutura semelhante e implementou algo parecido.... Agora se for pra aparecer "gente" que nem esse ai querendo aparecer, melhor nem responder.

[whinston]

E novamente vamos falar, vc tem que alterar o bash dele no arquivo de senhas! não tem outra maneira pra bloquear acesso local

como fazer isso?

abre o arquivo com seu editor preferido e altere onde tem /bin/bash para /sbin/nologin

se não quiser editar 1 por 1, da pra fazer uma substituicao por sed, mas ai vc vai ter q filtrar os usuarios que vc nao quer q percam o acesso.

mudando de gato pra sapato, se eu tenho arkivos que tinha ç e foram "zuados" pra |, o SED eh bom pra renomear de volta pra ç ?

[1c3m4n]

Andre quem num ta entendendo aqui eh vc, jah falamos que NAO DA PRA DESABILITAR LOGIN LOCAL SEM TIRAR O BASH.
e pq seus usuarios precisariam de bash no servidor????? pelo q vc descreveu nao tem necessidade alguma..

[candrecn]

Andre quem num ta entendendo aqui eh vc, jah falamos que NAO DA PRA DESABILITAR LOGIN LOCAL SEM TIRAR O BASH.
e pq seus usuarios precisariam de bash no servidor????? pelo q vc descreveu nao tem necessidade alguma..

Otimo não dá para desabilitar.

Cara, não sei como ser mais claro do que já fui a respeito desse assunto, mas..

Pergunta: "pq seus usuarios precisariam de bash no servidor????? "
Resposta: E não precisam! Bem, acho até que entendi o problema... vocês tão meio enferrujados em LDAP ou sou eu que tou ficando doido. Bem... como eu já disse umas 4 outras vezes, os usuarios não precisam de bash no servidor, mas precisam de bash nas estações que eles trabalham... agora o que pelo jeito vocês não entenderam, é que os shell dos usuarios de uma base LDAP não ficam no /etc/passwd na estação localmente... e sim na propria base LDAP junto com o home do usuario, uid, gid, grupos e etc... então, toda maquina, estação ou servidor que autenticar nessa base LDAP, vai ter a base dos usuarios relacionados a ela, permitindo a autenticacao dos mesmos, trazendo junto usuario, senha, home, shell, gid, uid e etc... ou seja, no servidor não é só editar o /etc/paswd... eu teria que mudar na base LDAP o que significa mudar para todo mundo, sendo que não posso fazer isso, pois os usuarios logam em suas estações linux...

[1c3m4n]

Eu não uso ldap mesmo, mas mudar a base deles no servidor não é pra influenciar na maquina local deles, vc jah testou?? desabilita de um e ve se vai acontecer alguma coisa

[candrecn]

Eu não uso ldap mesmo, mas mudar a base deles no servidor não é pra influenciar na maquina local deles, vc jah testou?? desabilita de um e ve se vai acontecer alguma coisa

Mano, o caso é que a base é centralizada. Todos buscam a base no mesmo lugar, essa é graça da coisa.
Não dá pra "mudar a base deles no servidor", pois a base é exatamente a mesma, o unico usuario que existe nos /etc/passwd das maquinas é o root e os outros usuarios de sistema, todo o resto é autenticado via LDAP. Não dá para mudar um usuário de forma que só funcione em uma maquina, tudo que mudar no servidor LDAP, muda para todos, esse é o pro...