Отправить комментарий Печать

Права для удаленного подключения в Linux

Удаленные подключения к машине под управлением Linux (включая выполняемые привилегированным пользователем) устанавливаются в соответствии с политиками проверки подлинности, которые настраиваются с помощью подключаемых модулей проверки подлинности для Linux, известных как Linux-PAM.

Для обеспечения работы политик проверки подлинности рекомендуется установить последнюю версию Linux-PAM для конкретного дистрибутива Linux. Последний стабильный исходный код Linux-PAM доступен на веб-странице исходного кода Linux-PAM.

Удаленное подключение в качестве привилегированного пользователя

Удаленные подключения привилегированного пользователя устанавливаются в соответствии с политикой проверки подлинности агента Acronis, которая автоматически настраивается в процессе установки агента Acronis Backup & Recovery 11 для Linux, путем создания файла /etc/pam.d/acronisagent со следующим содержимым:

#%PAM-1.0
auth required pam_unix.so
auth required pam_succeed_if.so uid eq 0
account required pam_unix.so

Удаленное подключение в качестве непривилегированного пользователя

Так как доступ к системе в качестве привилегированного пользователя должен быть ограничен, привилегированный пользователь может создать политику проверки подлинности, чтобы включить удаленное управление под непривилегированными учетными данными.

Ниже приведены два примера таких политик.

Примечание. В результате указанные непривилегированные пользователи смогут удаленно подключаться к машине так же, как если бы они были привилегированными пользователями. В целях безопасности рекомендуется следить за тем, чтобы учетные записи пользователей было трудно скомпрометировать, например требовать наличия надежных паролей.

Пример 1

Эта политика проверки подлинности использует модуль pam_succeed_if и работает с дистрибутивами Linux с версией ядра 2.6 или более поздней. Политику проверки подлинности, которая работает с версией ядра 2.4, см. в следующем примере.

Выполните следующие действия в качестве привилегированного пользователя.

  1. Создайте учетную запись группы Acronis_Trusted, выполнив следующую команду:

    groupadd Acronis_Trusted

  2. Добавьте имена непривилегированных пользователей, которым следует разрешить удаленное подключение к машине, в группу Acronis_Trusted. Например, чтобы добавить в группу существующего пользователя user_a, запустите следующую команду:

    usermod -G Acronis_Trusted user_a

  3. Отредактируйте файл /etc/pam.d/acronisagent-trusted следующим образом:

    #%PAM-1.0
    auth required pam_unix.so
    auth required pam_succeed_if.so user ingroup Acronis_Trusted
    account required pam_unix.so

Пример 2

Вышеприведенная политика проверки подлинности может не работать в дистрибутивах Linux с версией ядра 2.4 (включая Red Hat Linux), так как в ней не поддерживается модуль pam_succeed_if.so.

В этом случае можно воспользоваться следующей политикой проверки подлинности.

  1. В качестве привилегированного пользователя создайте файл /etc/pam.d/Acronis_trusted_users.
  2. Добавьте имена непривилегированных пользователей, которым следует разрешить управлять машиной, в этот файл по одному имени пользователя в строке. Например, чтобы добавить пользователей user_a, user_b и user_c, добавьте в файл следующие три строки:

    user_a
    user_b
    user_c

    При необходимости также добавьте в файл привилегированного пользователя.

  3. Отредактируйте файл /etc/pam.d/acronisagent-trusted следующим образом:

    #%PAM-1.0
    auth required pam_unix.so
    auth required pam_listfile.so item=user sense=allow file=/etc/pam.d/Acronis_trusted_users onerr=fail
    account required pam_unix.so

Наверх Отправить комментарий Печать
  Дата обновления: 17.08.2011 14:14:26
   © Acronis, Inc., 2000-2011
Acronis