假设我们有两台服务器A和乙
A: 严重封锁。需要 TOTP(谷歌身份验证器)、密码和有效的公钥。该服务器允许用户使用其 adm 帐户 (username-adm) 登录 B。这些帐户在远程计算机上具有无密码 sudo。
乙:可以从多个地方登录,只需要密码和有效用户。
现在,我们想要禁用我们的 adm 帐户的本地登录。意思是他们不能登录服务器 B用户然后切换到用户管理员。
我想我可以按如下方式完成此任务(我们使用 PAM 和 LDAP)。
/etc/sudoers.d
+it-org-adm-group ALL=(ALL) NOPASSWD: ALL
/etc/security/access.d
+:@it-org-adm-group : SERVER-A-IPV4 SERVER-A-IPV6
问题是 sudo 评估 pam 堆栈!这意味着 sudo 对这些用户不起作用,除非我们明确允许本地登录
/etc/security/access.d
+:@it-org-adm-group : SERVER-A-IPV4 SERVER-A-IPV6 LOCAL
那么有什么办法可以阻止特定群体从当地的登录,但允许 sudo?其他用户应该可以自由切换用户或诸如此类的事情(假设他们拥有正确的凭据)。请注意,我们必须使用 PAM,因为它已深度集成到我们的服务器套件中。