История изменений

Исправление qnikst, 04.02.13 10:01 (текущая версия) :

ТС держи:

1). инициализируем нужную цгруппу:

localhost qnikst # mkdir /sys/fs/cgroup/test #это уж как 
localhost qnikst # mount -n -t cgroup -o none,nodev,noexec,nosuid,name=test test /sys/fs/cgroup/test

2). Пишем простой баш скрипт:

localhost qnikst # cat /usr/local/bin/pam_exec_test.sh 
#!/bin/sh
p=/sys/fs/cgroup/test/${PAM_RUSER}
[ ! -d "${p}" ] && \
        mkdir ${p}
echo $PPID > "${p}"/tasks

3). пишем правило для pam.d (логи опциональны)

session    optional             pam_exec.so   log=/var/log/pam_test_su.log seteuid /usr/local/bin/pam_exec_test.sh

наслаждаемся результатом.

Для полного счаться, как я уже говорил, нужна политика selinux.

Исходная версия qnikst, 04.02.13 10:00:

ТС держи:

1). инициализируем нужную цгруппу:

localhost qnikst # mkdir /sys/fs/cgroup/test #это уж как 
localhost qnikst # mount -n -t cgroup -o none,nodev,noexec,nosuid,name=test test /sys/fs/cgroup/test

Пишем простой баш скрипт:

localhost qnikst # cat /usr/local/bin/pam_exec_test.sh 
#!/bin/sh
p=/sys/fs/cgroup/test/${PAM_RUSER}
[ ! -d "${p}" ] && \
        mkdir ${p}
echo $PPID > "${p}"/tasks

3-е пишем правило для pam.d (логи опциональны)

session    optional             pam_exec.so   log=/var/log/pam_test_su.log seteuid /usr/local/bin/pam_exec_test.sh

наслаждаемся результатом.

Для полного счаться, как я уже говорил, нужна политика selinux.