Интеграция лимитирования и сервисов, поддерживающих PAM
Для интеграции лимитирования и сервисов PAM необходим пакет pamls. На текущий момент реализована поддержка наиболее популярных из них — su, sudo, ssh.
Инструкции по установке необходимых пакетов вы можете найти в разделе «МСВСфера 9 Сервер редакция для хостинг-провайдеров, интеграция с другим программным обеспечением».
В конфигурационные файлы целевых сервисов, с которыми происходит интеграция, будут добавлены настройки подключения модуля лимитирования PAM.
Для примера ниже приведены настройки для su, sudo, ssh, crond, где при установке pamls добавились следующие строки.
su
$ sudo cat /etc/pam.d/su #%PAM-1.0 ... session required pamls.so 0 1 session required pamsls.so
sudo
$ sudo cat /etc/pam.d/sudo #%PAM-1.0 ... session required pamsls.so
ssh
#%PAM-1.0 ... session required pamls.so 0 1
crond
#%PAM-1.0 ... session required pamls.so 0 1
Модуль pamls можно добавить к любому сервису, поддерживающему PAM.
При этом необходимо, чтобы сервис отделял дочерние процессы и корректно завершал PAM-сессию.
Для добавления поддержки LS и LFS необходимо в настройку сервиса, поддерживающего PAM, добавить следующую строку:
#%PAM-1.0
...
session required pamls.so 0 1 wheel
Первый параметр после
pamls.so(0) — это значение min uid, т.е минимальный uid пользователя, который ещё будет помещён в LS и LFS. В данном примере это 0, можно задать 500, 1000 и т.д.Второй параметр после
pamls.so(1) — это флаг,1— включить поддержку LimitedFS,0— принудительно отключить LimitedFS.Третий параметр после
pamls.so(wheel) — опциональный параметр, указывает группу пользователей, которые не будут помещаться в LS и LFS. Если параметр не указан, то значение равноwheel.