Módulos básicos de Pam Linux

Módulos básicos de Pam Linux
Linux Pam é uma API poderosa que vem com vários méritos. Primeiro, ele fornece um esquema de autenticação padrão que é utilizável em vários aplicativos. Ele também fornece flexibilidade imbatível para desenvolvedores de aplicativos e administradores de sistemas. Finalmente, o Linux Pam permite o desenvolvimento de programas sem necessariamente criar seus respectivos protocolos de autenticação.

Como qualquer protocolo de autenticação típico, o uso de Pam depende da compreensão de uma variedade de conceitos. Os componentes do PAM que você deve internalizar e mestre incluem os grupos de controle e sinalizadores de controle.

Notavelmente, o Linux Pam possui quatro grupos de gerenciamento que todo usuário deve saber. Eles incluem:

  • Grupo de Auth - Eles ajudam a validar os usuários. Eles verificam o nome de usuário, a senha e outros detalhes de autenticação.
  • Grupo de contas - Eles controlam o acesso a um serviço ou programa, como o número de vezes que você deve acessar ou usar um serviço. Eles também controlam as outras condições, como expiração da conta e tempo.
  • Grupo de sessão - Este grupo assume a responsabilidade pelo ambiente de serviço, particularmente no início e no fim de uma sessão.
  • Grupo de senha - Este grupo é útil ao atualizar as senhas.

Para sinalizadores de controle, você encontrará os sinalizadores de controle necessários, necessários, suficientes e opcionais. Como o nome sugere, os sinalizadores de controle controlam o acesso a programas com base no comportamento de cada tipo de sinalizador de controle.

Além dos dois componentes, outro componente PAM significativo que você deve considerar são os módulos PAM-e é isso que este artigo lidará. Este artigo definirá os vários módulos PAM e fornecerá ilustrações ou exemplos viáveis.

Mas antes de olharmos para os módulos, vamos analisar a ordem dos módulos PAM.

Módulos Ordem

A ordem dos módulos PAM é vital, pois cada módulo depende do papel anterior da pilha. Portanto, uma configuração como na captura de tela a seguir permitirá facilmente fazer login:

No entanto, o pedido na captura de tela a seguir está incorreto e não permitirá um acesso:

Os 10 principais módulos de PAM básicos

Os seguintes módulos PAM embutidos existem em seus sistemas e você deve estar familiarizado com cada um deles para o uso adequado do Linux Pam:

1. módulo PAM_SUCECED_IF
Este módulo controla o acesso a usuários e grupos. Por exemplo, você pode validar as contas de usuário usando este comando:

O exemplo anterior significa que apenas os usuários cujos IDs são 1000 ou 3000 podem fazer login.

Outro exemplo é como no comando seguinte:

O exemplo anterior especifica que apenas os usuários com os IDs de usuário são iguais ou maiores que 2000 podem acessar o serviço ou programa.

Um exemplo de uso de um parâmetro de grupo é como visto no seguinte:

2. módulo pam_deny

O módulo pam_deny é comumente usado para negar ou restringir um acesso. Quando usado, o módulo retornará um resultado sem OK ao processar. O uso deste módulo no final da pilha do módulo protege qualquer possível configuração incorreta. No entanto, usá -lo no início de uma pilha de módulos desativará seu serviço, como visto na figura a seguir:

Curiosamente, você pode usar este módulo com o conta, auth, senha, e sessão grupos de gerenciamento.

3. módulo pam_access
O módulo Pam_access é outro módulo que você pode usar com todos os grupos de gerenciamento. Funciona da mesma maneira que o módulo pam_succeced_if. No entanto, o módulo pam_succeced_if não verifica os detalhes do login dos hosts em rede, enquanto o módulo pam_access se concentra nisso.

Você pode digitar as regras de acesso como visto nas seguintes figuras:

E

As regras afirmam que apenas os usuários do LinenhintTecks podem fazer login. Os sinais + e - na regra permitem e nega, respectivamente. Este módulo também é utilizável com todos os grupos de gerenciamento.

4. módulo pam_nologin
Este módulo é seletivo e só permite que a raiz faça login se o arquivo existir. Ao contrário dos módulos anteriores, que você pode usar com todos os grupos de gerenciamento, este módulo é utilizável apenas com Auth e conta grupos de gerenciamento.

5. módulo pam_cracklib
O cibercrime está em ascensão e as senhas fortes são obrigatórias. Este módulo define as regras para o quão forte suas senhas podem obter. No exemplo a seguir, o módulo fornece até 4 chances de escolher uma forte falha de senha para a qual ele sairá. Novamente, o módulo fornece que você só pode escolher uma senha de 12 ou mais caracteres.

6. Módulo PAM_LOCALUSER
Este módulo é frequentemente usado para verificar se um usuário está no /etc /passwd. Você pode usar este módulo com todos os grupos de gerenciamento, incluindo Auth, senha, sessão, e conta.

7. módulo pam_rootok
Somente os usuários root podem executar este serviço, pois ele verifica se o UID é 0. Assim, este módulo é útil quando um serviço é dedicado apenas aos usuários root. É utilizável sem outro grupo de gerenciamento, exceto o Auth Grupo de Gerenciamento.

8. Módulo PAM_MYSQL
Você pode usar o módulo PAM_MYSQL para validar os usuários, em vez de verificar suas credenciais contra o /etc /Shadow. É utilizável validar os usuários com os parâmetros pam_mysql. Você pode instalá -lo usando o seguinte comando se não o tiver em seu sistema. Este é outro módulo que você pode usar com todos os grupos de gerenciamento:

9. Módulo Pam_limits
Se você precisar definir os limites dos recursos do seu sistema, o módulo Pam_limits é o que você precisa. Este módulo afeta a todos, incluindo os usuários root que usam o arquivo de configuração dos limites disponíveis no/etc/segurança/limites.D/ Diretório. É benéfico para proteger os recursos do sistema e só é utilizável no sessão Grupo de Gerenciamento.

Os limites estabelecidos no/etc/segurança/limites.O arquivo conf. Somente os usuários root podem alterar o valor limite nos limites duros, enquanto os usuários comuns não podem. Por outro lado, mesmo os usuários comuns também podem alterar o valor limite.

Novamente, os limites podem ser classificados como CPU, fsize, dados, nproc e muitos mais. Um bom exemplo é mostrado na figura a seguir:

O primeiro limite para os membros do Linhintadmins define o número de processos para cada membro em 30. Por outro lado, o segundo limite é para os membros do Linhintechs e define a duração da CPU para eles em 4000 minutos.

10. módulo pam_rhosts
Ele executa a autenticação de rede padrão para serviços e programas geralmente implementados em RSH e Rlogin, entre outros. As três opções disponíveis incluem depuração, superusuário e silencioso. É utilizável apenas com o grupo de gerenciamento de auth e os recursos no exemplo a seguir:

Conclusão

Isso nos leva ao final deste artigo. Felizmente, os dez módulos básicos de Pam Linux provarão ser úteis em sua jornada para aprender e usar Pam.