Login am System für Anwender zeitlich beschränken

Aus Bluelupo's Wiki
Wechseln zu: Navigation, Suche


Wie und Warum Login zeitlich beschränken

Man kann aus Gründen der Sicherheit den Login am System mittels der PAM zeitlich reglementieren. Hier Beispiel soll der Login für User testuser am System Wochentags (Mo bis Fr) nur zwischen 13:00 und 21:00 Uhr möglich sein. Ist weder ein Login auf der Textkonsole oder im KDE möglich.


/etc/pam.d/login anpassen

In Configdatei login wird die Loginrestriktionen für die Textkonsole aktiviert. Es muß das PAM-Modul pam_time aktiviert werden. Dazu bei dieser Zeile das Kommentarzeichen entfernen oder wenn nicht vorhanden diese eintargen.

account    required   pam_time.so


/etc/security/kdm anpassen

Ebenso ist ein Eintrag am Ende der Confidatei kdm nötig, der die Loginrestriktionen für den KDE aktiviert.

account    required     pam_time.so


/etc/security/time.conf

Die Details sind in der Datei time.conf einzutragen. Die einzelnen Felder, durch den Strichpunkt getrennt, haben folgende Bedeutung.

  • 1. Feld: Anwendung (Service z.B. sshd, kdm usw.)
  • 2. Feld: Terminal (tty)
  • 3. Feld: Benutzer
  • 4. Feld: Zeit
*;*;testuser;!MoTuWeThFr0000-1300
*;*;testuser;!MoTuWeThFr2100-2359

In den einzelnen Felder können auch Wildcars benutzt werden. Im Beispiel sollen die Loginbeschränkungen auf den User testuser auf alle Services und tty's gelten. Ein Login soll nicht (!) von Monatg bis Freitag zwischen 00:00 und 13:00 Uhr und zusätzlich (zweite Zeile) nicht zwischen 21:00 und 23:59 Uhr erlaubt sein.

Fehlersuche

Um die Fehlersuche zu unterstützen sollte man paralell eine root Konsole offen haben und dort das Kommando tail -f /var/log/auth.log mitlaufen lassen. Hier kann man sofort den Loginvoragng bzw. des Fehlschalg erkennen.

Weiterführende Informationen

Restricting server access by time

Pluggable Authentication Modules

The Linux-PAM System Administrators' Guide