Linux Tips

telnetの利用をユーザー単位で許可/不許可するには

北浦訓行
2005/4/14

 telnetの利用をユーザー単位で許可/不許可するには、PAM(Pluggable Authentication Modules:脱着可能な認証モジュール)を利用する。PAMは、プログラムの改変なしにユーザー認証の方法を変更できる仕組みである。PAMによって、例えば特定のグループだけにあるプログラムのアクセス権を与えるといったことが可能になる。

 設定するには、まずrootで/etc/pam.d/loginの最下行に以下の記述を追加する。

account    required     pam_access.so

 これにより、/etc/security/access.confの設定が有効になる。このファイルの書式は、

permission:users:origins

である。

 「permission」は、許可なら「+」、不許可なら「-」とする。

 「users」には、対象となるユーザー/グループ名を記述する。特定のユーザー/グループ名ではなく「ALL」と記述すると、全ユーザー/グループが対象になる。「EXCEPT 〜」は、対象から除外するユーザー/グループ名を指定する場合に利用する。ALLとEXCEPTを組み合わせて、「特定ユーザー/グループ以外」といった指定を行うこともできる。

 「origins」には、ログインする端末やネットワークなどを指定する。例えば、tty名やホスト名、IPアドレス、「ALL」「LOCAL」(全ローカルアクセス)などが指定できる。

 ここでは、/etc/security/access.confに以下の設定を追加する。この場合、wheelグループに属するユーザー以外はログインできなくなる。

-:ALL EXCEPT wheel:ALL

 また、

-:ALL EXCEPT suzuki tanaka:ALL

のように、ログイン可能なユーザー名を指定することも可能だ。

 ただし、この方法はFedora Core 3では有効にならなかった(Fedora Core 2やVine Linux 3.1などでは有効)。また、sshによる接続は対象外だ。

Linux Tips Index



 Linux Squareフォーラム Linux Tipsカテゴリ別インデックス
インストール/RPM ブート/ブートローダ
ファイル操作 環境設定
ユーザー管理 コンソール/ターミナル
X Window System セキュリティ
トラブルシューティング 他OS関係
ネットワーク ハードウェア
Webサーバ Samba
GNOME KDE
OpenOffice.org エミュレータ
ソフトウェア そのほか/FAQ
全Tips公開順インデックス Linux Tips月間ランキング
Linux Squareフォーラム全記事インデックス

MONOist組み込み開発フォーラムの中から、Linux関連記事を紹介します


Linux & OSS フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Linux & OSS 記事ランキング

本日 月間