Рассмотрим несколько примеров:

-:ALL EXCEPT den user serge:LOCAL .microsoft.com

+:reboot shutdown:LOCAL

+:root:tty1

-:root:LOCAL

-:den user serge:LOCAL EXCEPT host1

Первое правило запрещает регистрацию всех пользователей, кроме (EXCEPT) den, user, serge из любого хоста локальной сети и домена .microsoft.com. Но эти пользователи могут регистрироваться из любого другого домена.

Второе правило разрешает регистрацию пользователей reboot и shutdown из любого узла локальной сети. Третье правило разрешает регистрацию пользователя root из терминала tty1, а следующее правило – запрещает регистрацию пользователя root по сети (локальной). Последнее правило запрещает регистрацию пользователей den, user, serge из любого узла локальной сети, кроме узла host1.

C точки зрения безопасности приведенные примеры не имеют никакого смысла. Я привел данный пример только в демонстрационных целях. Как видно из имен пользователей во втором правиле, первый используется для перезагрузки системы, а второй – для ее останова. То есть при регистрации этих пользователей система соответственно или перезагружается, или останавливается. Подобное практикуется многими системными администраторами, которых я знаю. Как они говорят, этих пользователей создали для удобства: если нужно перезагрузить машину, нужно просто войти в систему под пользователем reboot. Такое удобство вам может дорого обойтись, если кто-то, узнав ваш пароль, остановит машину во время вашего отсутствия, поэтому не рекомендую вам создавать подобных пользователей вообще. Третье правило разрешает регистрацию пользователя root с терминала tty1 (локальная регистрация), но не запрещает регистрацию со всех остальных. Можно было бы указать правило

-:root:ALL

перед третьим правилом, но специально для этих целей служит файл /etc/securetty, о котором мы поговорим немного позже.

Теперь перейдем ко второму файлу – console.perms. Этот файл определяет полномочия привилегированных пользователей, которые будут им присвоены при регистрации через консоль системы (локальная регистрация). Скорее всего, вам не нужно будет редактировать этот файл. После внесения изменений в этот файл выполните команду:

pam_console_apply -r

Обычно данная команда помещается в один из инициализационных сценариев системы. Для получения более подробной информации обратитесь к справочной системе.

В файле limits.conf определяются квоты системных ресурсов, например, максимальное число процессов или максимальное время процессора. Прежде чем ограничить пользователей, рассмотрим, как можно ограничить самого себя, то есть пользователя root.

В файле /etc/securetty, который уже упоминался выше, указываются терминалы и виртуальные консоли, из которых может регистрироваться пользователь root. Я рекомендую вообще запретить регистрацию пользователя root из консоли. Для этого удалите (или закомментируйте) все строки в файле securety. Если вам будут нужны максимальные привилегии, используйте команду su (super user). После ввода этой команды программа запросит у вас пароль пользователя root, и если пароль правилен, вы получите привилегии пользователя root.