How to configure PAM to allow/deny users login

-

Filter User Login Linux Menggunakan PAM (Whitelist User)

Pada contoh ini akan dijelaskan cara membatasi user yang boleh login ke sistem Linux (GUI maupun console) menggunakan konfigurasi PAM (Pluggable Authentication Module).

Metode ini cocok digunakan jika hanya ingin mengizinkan user tertentu saja untuk mengakses sistem.

⚠️ Peringatan Sebelum Konfigurasi

Sebelum melakukan perubahan:

  • Sebaiknya lakukan di server percobaan
  • Buat snapshot / backup
  • Kesalahan konfigurasi PAM dapat menyebabkan gagal login ke sistem

1️⃣ Edit File PAM Authentication

Buka file berikut:

nano /etc/pam.d/common-auth

Tambahkan baris berikut di bagian paling bawah:

auth required pam_listfile.so item=user sense=allow file=/etc/pam.d/users.allow onerr=fail

Lalu simpan perubahan.

2️⃣ Buat File Daftar User yang Diizinkan

Buat file whitelist user:

nano /etc/pam.d/users.allow

Isi dengan username yang boleh login, satu user per baris:

root
user1
user2
user3

3️⃣ Pengujian Konfigurasi

Buat user baru untuk testing:

adduser testuser1

Lalu lakukan pengujian:

❌ Login sebagai testuser1

Tidak akan bisa login karena belum terdaftar di:

/etc/pam.d/users.allow

✅ Login sebagai user yang diizinkan

User berikut tetap bisa login:

  • root
  • user1
  • user2
  • user3

4️⃣ Berlaku Juga untuk SSH

Konfigurasi ini juga otomatis berlaku untuk:

  • Login SSH
  • Login console
  • Login GUI

Karena semuanya menggunakan PAM authentication stack.

📚 Referensi

https://www.cyberciti.biz/tips/linux-pam-configuration-that-allows-or-deny-login-via-the-sshd-server.html

💡 Tips Tambahan (Best Practice)

Jika ingin lebih aman:

  • Selalu pastikan root tetap di whitelist
  • Gunakan session SSH kedua saat testing
  • Siapkan akses console/VM jika terkunci


Komentar

Posting Komentar

Postingan populer dari blog ini

Cara restart / stop windows service (services.msc) dengan bat / cmd

-
Menjalankan Service SQL Server Secara Manual dengan Batch Script (Windows) Sebenarnya service di Windows bisa di-set automatic start melalui Services Manager agar langsung berjalan saat boot. Namun jika tidak ingin SQL Server terus memakan resource CPU dan memory ketika tidak digunakan, maka lebih baik diset manual start dan dijalankan hanya saat diperlukan. Supaya lebih praktis, kita bisa membuat shortcut batch script sehingga tidak perlu membuka services.msc setiap ingin menjalankan service. 🔎 Cara Melihat Daftar Service Windows 1️⃣ Melalui GUI Tekan: Win + R → services.msc 2️⃣ Melalui Command Prompt Buka CMD lalu jalankan: sc query Perintah ini akan menampilkan semua service beserta statusnya. ▶️ Script BAT untuk START SQL Server Buat file misalnya: start-sql.bat Isi dengan: @echo off net start MSSQL$SQLEXPRESS ⏹️ Script untuk STOP Service Jika ingin menghentikan service, cukup ganti start menjadi stop : @echo off net stop MSSQL$SQLEXPRESS 📌 Cara Men...
Baca selengkapnya

Learning Haproxy Load Balancer with Podman and Go Backends

-
+------------------+          +-------------------+               +-------------------+ |   Client              |          |   Haproxy LB   |                |   Podman Pod   | | (e.g., Browser)  +   ---->      (Port 8181)    +---------->-------------------+ +------------------+          +---------+---------+                |                         |                                         |                                  ...
Baca selengkapnya

Konfigurasi ITNSA OpenVPN auth LDAP

-
Gambar
Konfigurasi OpenVPN Authentication Menggunakan OpenLDAP Sebelum mencoba integrasi  OpenVPN dengan OpenLDAP , pastikan beberapa hal dasar sudah berjalan dengan baik agar proses konfigurasi lebih mudah. ✅ Prasyarat 1️⃣ Pastikan OpenVPN Sudah Berfungsi Konfigurasikan terlebih dahulu  sampai: Client bisa terkoneksi Tunnel sudah terbentuk Routing berjalan normal Jangan lanjut ke LDAP jika VPN dasar belum berhasil. 2️⃣ Pastikan OpenLDAP Sudah Siap Server  harus: Sudah terinstall Struktur directory sudah dibuat User VPN sudah ada Lakukan pengecekan dengan: Test Query User ldapsearch Test Authentication Identity ldapwhoami Sesuaikan parameter perintah di atas dengan konfigurasi LDAP Anda. Jika kedua perintah berhasil → berarti LDAP siap digunakan. 🔧 3️⃣ Install OpenVPN Auth LDAP Plugin Install paket: apt-get install openvpn-auth-ldap 📁 Buat Direktori Konfigurasi mkdir /etc/openvpn/auth cp /usr/share/doc/openvpn-auth-ldap/examples/auth-ldap.conf /etc/openvpn/au...
Baca selengkapnya