[OpenBSD 4.8] login.access ?

Le
Patrick Lamaizière
'jour,

Est-ce qu'il y a un équivalent de login.access dans Open ?
http://www.unix.com/man-page/All/5/login.access/

merci.
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Miod Vallat
Le #23041921
Est-ce qu'il y a un équivalent de login.access dans Open ?
http://www.unix.com/man-page/All/5/login.access/



Non. Pour ce qui est de la restriction d'accès par utilisateur ou
groupe, on peut jouer avec les classes d'utilisateurs et
/etc/login.conf ; en revanche pour la restriction par tty, je ne crois
pas qu'il y aie quoi que ce soit.
Patrick Lamaizière
Le #23042141
Miod Vallat :

Est-ce qu'il y a un équivalent de login.access dans Open ?
http://www.unix.com/man-page/All/5/login.access/



Non. Pour ce qui est de la restriction d'accès par utilisateur ou
groupe, on peut jouer avec les classes d'utilisateurs et
/etc/login.conf ; en revanche pour la restriction par tty, je ne crois
pas qu'il y aie quoi que ce soit.



Tant pis. Merci.

Ce que je cherche à faire, c'est autoriser le login d'un compte
seulement par ssh et l'interdire en local. Si jamais il y a un autre
moyen ?
Etienne
Le #23042311
Ce bavard de Patrick Lamaizière vient de nous dire:

Est-ce qu'il y a un équivalent de login.access dans Open ?
http://www.unix.com/man-page/All/5/login.access/



Non. Pour ce qui est de la restriction d'accès par utilisateur ou
groupe, on peut jouer avec les classes d'utilisateurs et
/etc/login.conf ; en revanche pour la restriction par tty, je ne crois
pas qu'il y aie quoi que ce soit.



Tant pis. Merci.

Ce que je cherche à faire, c'est autoriser le login d'un compte
seulement par ssh et l'interdire en local. Si jamais il y a un autre
moyen ?



Rediriger la console sur le port série ?

--
Étienne
Be wary of strong drink. It can make you shoot at tax collectors and
miss
-- Lazarus Long, "Time Enough for Love"
Patrick Lamaizière
Le #23042391
Etienne :

Ce que je cherche à faire, c'est autoriser le login d'un compte
seulement par ssh et l'interdire en local. Si jamais il y a un autre
moyen ?



Rediriger la console sur le port série ?



Local dans le sens ou un compte local à la machine ne devrait pas
pouvoir se logguer sous ce compte. J'aimerais que le login ne soit fait
*que* par sshd.

Avec login.access sous FreeBSD, je crois qu'on peut faire des trucs
comme ça (de mémoire, ça fait un moment que j'ai pas joué avec ça).

Mon problème c'est que je dois effectuer des commandes qui nécessitent
d'être root, à partir d'une autre machine (pour changer les routes,
charger pf.conf...). J'ai donc créé un compte utilisateur spécial
à cet effet, non root, mais avec des entrées dans sudoers pour
autoriser ces commandes.

J'aimerais que ce compte ne soit utilisable *que* via ssh, et
c'est encore mieux si je peux contrôler que ça vient d'une machine
spécifique.
Paul Gaborit
Le #23043801
À (at) Sat, 22 Jan 2011 02:11:14 +0100,
Patrick Lamaizière

Local dans le sens ou un compte local à la machine ne devrait pas
pouvoir se logguer sous ce compte. J'aimerais que le login ne soit fait
*que* par sshd.

Avec login.access sous FreeBSD, je crois qu'on peut faire des trucs
comme ça (de mémoire, ça fait un moment que j'ai pas joué avec ça).

Mon problème c'est que je dois effectuer des commandes qui nécessitent
d'être root, à partir d'une autre machine (pour changer les routes,
charger pf.conf...). J'ai donc créé un compte utilisateur spécial
à cet effet, non root, mais avec des entrées dans sudoers pour
autoriser ces commandes.

J'aimerais que ce compte ne soit utilisable *que* via ssh, et
c'est encore mieux si je peux contrôler que ça vient d'une machine
spécifique.



Quel problème à laisser la possibilité de se connecter localement sur ce
compte spécial ? Si c'est pour des raisons de sécurité, cela me semble
illusoire : généralement, lorsqu'on peut se connecter localement c'est
qu'on a accès pysiquement à la machine, ce qui donne de nombreux moyens
pour pirater la machine sans passer par ce compte spécial...


--
Paul Gaborit -
Publicité
Poster une réponse
Anonyme