質問:
1 日の特定の時間にのみ新しい ssh ログインを許可するポリシーを適用する方法。これらのアクセス ウィンドウの外では、新しい ssh ログインは許可されません。
解決策:
PAM リソースの説明
ログイン時間は、Linux プラグイン認証方式 (PAM) pam_time.so を使用して制御できます モジュール。 pam_time.so モジュールは、ファイル /etc/security/time.conf で指定されたログイン制限を適用します。 .そのため、目的のログイン ウィンドウをそのファイルで定義する必要があります。
ポリシーの例
pam_time.so モジュールの機能を説明するには、例を使用するのが最善の方法です。ユーザー john によるシステムへのリモート ログインを、毎日 13:00 から 14:00 の間だけに制限したいと考えています。これを行うには、以下の行を /etc/security/time.conf ファイルに追加します:
# vi /etc/security/time.conf sshd;*;john;Al1300-1400
フィールドはセミコロン (;) 文字で区切られます。フィールドは次のとおりです。
<オール>
ポリシーを有効にする
/etc/pam.d/sshd サービス ファイルに次の行を追加します。
# vi /etc/pam.d/sshd account required pam_time.so
明細は、他の勘定明細とグループ化する必要があります。 PAM 認証ファイルの行の順序は重要です。アイテムは、ファイル内の行の順序で適用されます。最後のアカウント行として新しい行を追加します。これにより、時間ベースの施行に関する情報が部外者に漏れないようにします。この例では:
# vim /etc/pam.d/sshd #%PAM-1.0 ... # Additionally, check for any account-based restrictions using pam_time.so account required pam_nologin.so account include password-auth account required pam_time.so ...PAM 構成ファイルを変更するときは、細心の注意を払ってください。間違った編集や入力ミスにより、システムが完全にすべてのユーザーに開かれたり、すべてのユーザー (root を含む) がシステムから締め出されたりする可能性があります。