Inhaltsverzeichnis
Wie und Warum Login zeitlich beschränken
Man kann aus Gründen der Sicherheit den Login am System mittels der PAM zeitlich reglementieren. Hier Beispiel soll der Login für User testuser
am System Wochentags (Mo bis Fr) nur zwischen 13:00 und 21:00 Uhr möglich sein. Ist weder ein Login auf der Textkonsole oder im KDE möglich.
/etc/pam.d/login anpassen
In Configdatei login
wird die Loginrestriktionen für die Textkonsole aktiviert. Es muß das PAM-Modul pam_time
aktiviert werden. Dazu bei dieser Zeile das Kommentarzeichen entfernen oder wenn nicht vorhanden diese eintargen.
account required pam_time.so
/etc/security/kdm anpassen
Ebenso ist ein Eintrag am Ende der Confidatei kdm
nötig, der die Loginrestriktionen für den KDE aktiviert.
account required pam_time.so
/etc/security/time.conf
Die Details sind in der Datei time.conf
einzutragen. Die einzelnen Felder, durch den Strichpunkt getrennt, haben folgende Bedeutung.
- 1. Feld: Anwendung (Service z.B. sshd, kdm usw.)
- 2. Feld: Terminal (tty)
- 3. Feld: Benutzer
- 4. Feld: Zeit
*;*;testuser;!MoTuWeThFr0000-1300 *;*;testuser;!MoTuWeThFr2100-2359
In den einzelnen Felder können auch Wildcars benutzt werden. Im Beispiel sollen die Loginbeschränkungen auf den User testuser
auf alle Services und tty's gelten. Ein Login soll nicht (!) von Monatg bis Freitag zwischen 00:00 und 13:00 Uhr und zusätzlich (zweite Zeile) nicht zwischen 21:00 und 23:59 Uhr erlaubt sein.
Fehlersuche
Um die Fehlersuche zu unterstützen sollte man paralell eine root Konsole offen haben und dort das Kommando tail -f /var/log/auth.log
mitlaufen lassen. Hier kann man sofort den Loginvoragng bzw. des Fehlschalg erkennen.