Privilegios para la conexión remota en Linux

Las conexiones remotas a un equipo que se ejecuta con Linux, incluyendo aquellas llevadas a cabo por el usuario raíz, se establecen de acuerdo a políticas de autenticación, que se configuran utilizando Módulos de autenticación conectables para Linux, conocidos como Linux-PAM.

Para que las políticas de autenticación funcionen, recomendamos instalar la último versión de Linux-PAM para su distribución Linux. El código fuente estable más actual de Linux-PAM está disponible en la Página web de códigos fuente de Linux-PAM.

Conexión remota como usuario raíz

Las conexiones remotas del usuario raíz se establecen de acuerdo con la política de autenticación del agente de Acronis, que se configura de forma automática durante la instalación de Acronis Backup Agent para Linux, creando el archivo /etc/pam.d/acronisagent que contiene lo siguiente:

#%PAM-1.0
auth required pam_unix.so
auth required pam_succeed_if.so uid eq 0
account required pam_unix.so

Conexión remota como usuario no raíz

Como el acceso al sistema como usuario raíz debería estar restringido, el usuario raíz puede crear una política de autenticación para permitir la gestión remota con credenciales de usuarios que no son raíz.

A continuación, presentamos dos ejemplos de dichas políticas.

Nota: Como consecuencia, los usuarios especificados que no son de raíz podrán realizar cualquier operación en el equipo con privilegios de raíz. Para una máxima seguridad, se recomienda garantizar que las cuentas de los usuarios sean difíciles de comprometer, por ejemplo, exigiendo que tengan contraseñas seguras.

Ejemplo 1

Esta política de autenticación utiliza el módulo pam_succeed_if y trabaja con las distribuciones de Linux con kernel versión 2.6 o superior. Para una política de autenticación que trabaja con la versión 2.4 de kernel, consulte el siguiente ejemplo.

Realice los siguientes pasos como usuario raíz:

  1. Cree la cuenta del grupo Acronis_Trusted al ejecutar el siguiente comando:

    groupadd Acronis_Trusted

  2. Añada los nombres de los usuarios no raíz a los que desea permitir conectarse remotamente al equipo, al grupo Acronis_Trusted. Por ejemplo, para agregar el usuario existente Usuario_a al grupo, ejecute el siguiente comando:

    usermod -G Acronis_Trusted user_a

  3. Edite el archivo /etc/pam.d/acronisagent-trusted de la siguiente manera:

    #%PAM-1.0
    auth required pam_unix.so
    auth required pam_succeed_if.so user ingroup Acronis_Trusted
    account required pam_unix.so

Ejemplo 2

Puede que la política de autenticación indicada anteriormente no funcione con las distribuciones de Linux con la versión 2.4 de kernel, incluyendo Red Hat Linux, porque el módulo pam_succeed_if.so ahí no es compatible.

En este caso, puede utilizar la siguiente política de autenticación.

  1. Como usuario raíz, cree el archivo /etc/pam.d/Acronis_trusted_users
  2. Agregue los nombres de los usuarios no raíz, a los que desea permitir que gestionen el equipo, a este archivo introduciendo un nombre de usuario por línea. Por ejemplo, si desea agregar los usuarios usuario_a, usuario_b y usuario_c, agregue las siguientes tres líneas al archivo:

    user_a
    user_b
    user_c

    Si es necesario, también agregue al usuario raíz al archivo.

  3. Edite el archivo /etc/pam.d/acronisagent-trusted de la siguiente manera:

    #%PAM-1.0
    auth required pam_unix.so
    auth required pam_listfile.so item=user sense=allow file=/etc/pam.d/Acronis_trusted_users onerr=fail
    account required pam_unix.so