https://opennet.ru/openforum/vsluhforumID1/89279.html Доброе время суток,<br>Необходимо решить такую задачу:<br>- Есть ldap, через который пользователи авторизуются на серверах (ldap хранит ключи для ssh)<br>- Пользователи ходят по ssh на серверы, возможно, вводя пароль или используя приватный ключ<br>- У пользователей в ldap есть класс posixAccount, то есть хранится их номер группы (gid)<br>Нужно - чтобы некоторая группа пользователей не имела доступ к серверам. Например, установив пользователю gid=65534 (то есть nogroup), доступ к серверам у него отключался.<br>Пробовал использовать:<br><br>cat /etc/security/access.conf &#124; grep -v '#'<br>- : nogroup : ALL<br><br>но, увы, действия это не возымело. Заранее благодарен за любую помощь.<br> https://opennet.ru/openforum/vsluhforumID1/89279.html#5 Fri, 02 Jul 2010 09:57:50 GMT &gt;&gt;Да, верно, это ограничивает ssh доступ. Однако есть предчувствие, что доступ будет <br>&gt;&gt;нужно ограничивать и для других сервисов (по мере их появления) - <br>&gt;&gt;существует ли некоторые универсальные способы? <br>&gt;<br>&gt;Проблемы нужно решать по мере их поступления, пока вы сами не знаете <br>&gt;какие сервисы у вас будут, то как вы собираетесь к ним <br>&gt;ограничивать доступ? <br><br>с этим сложно не согласиться. Хорошо, пока что пусть будет только ограничение ssh (достаточно и этого). Я спросил, так как полагал, что есть способ ограничить сразу весь доступ (по любым протоколам, для любых сервисов и т.п.) - благодарю за помощь!<br> https://opennet.ru/openforum/vsluhforumID1/89279.html#4 Fri, 02 Jul 2010 09:53:03 GMT &gt;Да, верно, это ограничивает ssh доступ. Однако есть предчувствие, что доступ будет <br>&gt;нужно ограничивать и для других сервисов (по мере их появления) - <br>&gt;существует ли некоторые универсальные способы? <br><br>Проблемы нужно решать по мере их поступления, пока вы сами не знаете какие сервисы у вас будут, то как вы собираетесь к ним ограничивать доступ?<br><br> https://opennet.ru/openforum/vsluhforumID1/89279.html#3 Fri, 02 Jul 2010 09:38:44 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;Пробовал использовать: <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;cat /etc/security/access.conf &#124; grep -v '#' <br>&gt;&gt;&gt;- : nogroup : ALL <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;но, увы, действия это не возымело. Заранее благодарен за любую помощь. <br>&gt;&gt;<br>&gt;&gt;может проще задать у такой группы shell в /bin/false? <br>&gt;<br>&gt;А может лучше использовать AllowGroup и DenyGroup в sshd_config? <br><br>Да, верно, это ограничивает ssh доступ. Однако есть предчувствие, что доступ будет нужно ограничивать и для других сервисов (по мере их появления) - существует ли некоторые универсальные способы?<br><br><br> https://opennet.ru/openforum/vsluhforumID1/89279.html#2 Fri, 02 Jul 2010 09:29:01 GMT &gt;[оверквотинг удален]<br>&gt;&gt;установив пользователю gid=65534 (то есть nogroup), доступ к серверам у него <br>&gt;&gt;отключался. <br>&gt;&gt;Пробовал использовать: <br>&gt;&gt;<br>&gt;&gt;cat /etc/security/access.conf &#124; grep -v '#' <br>&gt;&gt;- : nogroup : ALL <br>&gt;&gt;<br>&gt;&gt;но, увы, действия это не возымело. Заранее благодарен за любую помощь. <br>&gt;<br>&gt;может проще задать у такой группы shell в /bin/false? <br><br>А может лучше использовать AllowGroup и DenyGroup в sshd_config?<br> https://opennet.ru/openforum/vsluhforumID1/89279.html#1 Fri, 02 Jul 2010 09:20:47 GMT &gt;[оверквотинг удален]<br>&gt;номер группы (gid) <br>&gt;Нужно - чтобы некоторая группа пользователей не имела доступ к серверам. Например, <br>&gt;установив пользователю gid=65534 (то есть nogroup), доступ к серверам у него <br>&gt;отключался. <br>&gt;Пробовал использовать: <br>&gt;<br>&gt;cat /etc/security/access.conf &#124; grep -v '#' <br>&gt;- : nogroup : ALL <br>&gt;<br>&gt;но, увы, действия это не возымело. Заранее благодарен за любую помощь. <br><br>может проще задать у такой группы shell в /bin/false?<br><br>