On Wed, 19 Aug 2015 08:49:57 -0500, Ulises González Horta wrote:
El mié, 19-08-2015 a las 08:29 -0500, Ulises González Horta escribió:
> Cómo podría lograrse?
Imagino que ya probastes poner el shell /bin/nologin en el archivo
passwd..
Si, pero eso lo que impide es el acceso al shel, no así el acceso
remoto via mgetty/pppd
Incluso probé con un módulo de pam, concretamente pam_listfile, cuya
entrada introduje en /etc/pam.d/login de esta manera:
auth required pam_listfile.so \
onerr=fail apply=user sense=allow file=/etc/login.users.enabled
Ahora pensándolo mejor quizás debería haber utilizado sense=deny y
crear un archivo de lista negra, tengo que probar.
Leí algo como el artículo que mencionabas antes, o quizas fue ese
mismo, pero no creo que sea lo que necesito.
En realidad necesito algo un poco atípico:
Una única cuenta de acceso remoto pero sin directorio inicial ni
servicios de correo, PERO que permita el acceso para entonces acceder al
servicio de correo desde otras cuentas que a su vez no deben tener
posibilidad de acceso remoto, ni tampoco navegación.
Esto último intenté conseguirlo mediante una regla de iptables con la
interfaz ppp y el match owner, buscando coincidencias con un grupo al
cual se asignaron las nuevas cuentas:
iptables -A INPUT -i ppp+ -m owner --gid-owner mailonly -j DROP
iptables -A FORWARD -i ppp+ -m owner --gid-owner mailonly -j DROP
Lamentablemente, la cosa no parece estar funcionando como uno
esperaría, pero debería haber una forma de conseguirlo, me extrañaría
bastante lo contrario.
Agradecería cualquier sugerencia.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
