Come limitare i membri di un determinato gruppo a un login per utente?

Ho un server ssh. Alcuni miei utenti si accedono più volte contemporaneamente; alcuni di quelli che stanno facendo non dovrebbero essere, e sospetto la condivisione del conto. Quelli che non dovrebbero essere tutti membri di un particolare gruppo unix.

Quello che vorrei è un modo per limitare il numero di connessioni concorrenti che i membri del gruppo 402 possono avere per "uno ognuno", con la precedenza più recente.

Quel ultimo pezzo è importnte; questi utenti a volte perdono legittimamente la connessione alla macchina e hanno bisogno di ristabilirlo, e non voglio che essi siano bloccati dalla macchina perché c'è una session d'attaccamento che non può uccidere. Invece, voglio un nuovo tentativo di connessione autenticata per disconnettere automaticamente l'antico.

Qualcuno fa qualcosa di simile? Qualcuno ha suggerimenti intelligenti su PAM o simili?

  • Sincronizza gli account utente su più server Linux
  • Utente per gli account di servizio MSSQL 2008
  • Tutorial sulla gestione di utenti e gruppi in Linux?
  • Come aggiungere un utente senza conoscere la forma crittografata della password?
  • Come gestire l'authentication utente centralizzata senza LDAP?
  • Account locale di Windows e manutenzione del gruppo
  • Linux: come creare un superutente?
  • Aggiungere l'utente di sistema a CentOS 6
  • 2 Solutions collect form web for “Come limitare i membri di un determinato gruppo a un login per utente?”

    Credo che tu possa usare /etc/security/limits.conf per far valere questo, la syntax è:

    <domain> <type> <item> <value>

    Quindi una linea di lavoro potrebbe sembrare:

    @402 hard maxlogins 1

    Per quanto riguarda le sessioni perse, è ansible impostare un basso ClientAliveInterval in sshd per garantire che le sessioni morte non si ClientAliveInterval per troppo tempo?

    Utilizza la direttiva MaxSessions in sshd_config.

     Match Group groupname MaxSessions 1 ClientAliveInterval 30 ClientAliveCountMax 1 

    Alla fine del file in modo che i valori vengano sovrascritti solo per il groupname del gruppo (è necessario utilizzare il nome, non l'ID numbersco). Se il cliente non risponde per più di un messaggio inviato each 30 secondi, il client verrà disconnesso. Puoi giocare con i valori numbersci alla tua soddisfazione. Sembra di lavorare sul mio RHEL 6.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.