RH253中Host-Level Security的实验

好好先生

目的:利用PAM限制登录时间和区域
步骤:
     1.建立两个用户:bill属于users组,biff属于redmond组.
     2.vi  /etc/security/time.conf
      增加一行
    login;*,bill;Mo0500-2400|TuWeTh0000-2400|Fr0000-1900
     (目的:限制biff用户从周五下午7:00-周一上午5:00登录系统)
     vi /etc/security/access.conf
     增加一行
   -:redmond:ALL EXCEPT tty2
     (目的:限制redmond组只能从tty2登录)
   3.vi /etc/pam.d/login增加两行
  account required /lib/security/pam_time.so
   account required /lib/security/pam_access.so
   (我试验时,这两行写到/etc/pam.d/system-auth中也可以)
   4.改变系统时间,用bill和biff登录.检查结果.
问题:
    如果使用了xwindow则会发现bill和biff不受上述限制,该如何解决?我试验了,把默认启动级别改为3.但这不是好办法,谁还有好办法?

好好先生

up.

好好先生

怎么没有人回复呀？

好好先生

怎么看贴都不回贴啊！是不是也要罚你们“跑圈”啊！

supereyes

我来支持！！！

livelybear

可以让用户先注册进入，再运行xwindow,
不用xdm及类似的管理器启动。

好好先生

原帖由 "livelybear" 发表：
可以让用户先注册进入，再运行xwindow,
不用xdm及类似的管理器启动。

什么意思？是不是先从文本界面登录，然后再startx？这样的话和我的方法没有多少区别。
谢谢！能不能详细说明一下。

lihn

关注。。。

livelybear

我自己对xwindows的验证过程不是太了解，但是它应该有一个
验证程序在其中，这点通过ps可以看到的，只是它的验证过
过程是不是也能象pam那样模块化就不太清楚了，当时看楼主
比较急，所以出了那个主意，用startx来启动，这样就绕过了
用xdm时所产生的不安全因素。

上面只是个人设想的，没有经过检验，楼主可以试一下。

看来自己真得努力了，很多东西都是摸棱两可的。

好好先生

谢谢了！我只是在做这个实验时遇到了难题。生产中暂时还用不到。但是想找到解决办法。我也想xwindow的登录是有自己的验证机制，或者它调用的不是login。但是不知道调用的是什么。我晚上再试验一下。我现在想到一个思路：让init 3启动的服务和init 5的服务（指标准的）一样多，然后ps -ef>;init3.txt；然后重启到x，ps-ef >;init5.txt比较一下多了什么服务。谁现在可以试试？