Tutorial do Linux Pam

Evan Mueller
Tutorial do Linux Pam
Linux-pam é uma rica coleção de módulos compartilhados que autenticam interativamente um usuário a programas (ou serviços) em um sistema Linux. Linux-pam é um acrônimo para módulos de autenticação travável, que se desenvolveram a partir do design Unix-PAM. Ele combina numerosos módulos de autenticação de baixo nível com uma API de alto nível para fornecer autenticação dinâmica para aplicativos. Apesar do esquema de autenticação subjacente, isso permite que os desenvolvedores criem aplicativos que requerem autenticação. Linux-pam (também conhecido como "PAM") é frequentemente suportado por padrão em variantes contemporâneas de Linux.

A coisa mais crucial para um administrador do sistema entender é como os arquivos de configuração do PAM fornecem o link entre serviços e PAMs que realizam as atividades reais de autenticação. Você não precisa compreender o trabalho interno de Pam. Pam pode alterar significativamente a segurança do seu sistema Linux. Configurações incorretas podem proibir total ou parcialmente o acesso à sua máquina.

Interfaces de Linux-Pam no Ubuntu 20.04

Quatro grupos de gerenciamento diferentes lidam com as tarefas de autenticação PAM separadamente. Quando um usuário típico solicita um serviço restrito, esses grupos lidam com várias partes da solicitação:

  • Conta: Este módulo é usado para determinar se a conta fornecida é válida nas circunstâncias atuais. Vários fatores são verificados nesta categoria, incluindo expiração da conta, a hora do dia ou se o usuário tiver autorização para o serviço relevante.
  • Autenticação: Neste módulo, a identidade do usuário é validada quando todas as informações básicas foram verificadas como precisas. A identidade do usuário é verificada, permitindo que eles forneçam um login ou qualquer outra peça de dados em particular que apenas eles sejam obrigados a saber.
  • Senha: O módulo de autenticação deve funcionar em colaboração com este módulo, que auxilia o usuário a atualizar senhas. Ambas as ressonâncias fornecem a capacidade de aplicar senhas seguras.
  • Sessão: Este módulo descreve as atividades que devem ser realizadas no início e no final das sessões, e não é a menos importante dos módulos que compõem a ordem pela qual a estratégia geral do PAM conclui a tarefa desejada. A sessão começa quando o indivíduo se autenticou com sucesso.

Como validar um programa Linux-Pam no Ubuntu 20.04

Um aplicativo ou programa deve estar "ciente do PAM" ou expressamente construído e compilado para usar o PAM. Use o comando "LDD" para ver se um programa foi construído usando a biblioteca PAM para determinar se é "cedido de pam" ou não. Quando o comando "ldd /bin /su" é executado, o arquivo "libpam.Então ”é destacado na segunda linha que suporta a consulta. A validação é mostrada na captura de tela abaixo:

O diretório /etc /pam.d/ contém a configuração para Linux-pam. Vá para o diretório PAM inserindo o seguinte comando no terminal do seu sistema operacional Linux:

O instantâneo anterior mostra que se pode examinar o conteúdo inserindo o comando "LS" no diretório PAM. O servidor SSHD deve ser instalado se não estiver listado como um serviço que implementa Pam. O SSH, também conhecido como Secure Shell, é um aplicativo de rede que criptografa a transmissão de dados e permite que vários tipos e usuários de computador se conectem com segurança e remotamente em uma rede a vários sistemas. O comando a seguir adquire o pacote OpenSsh-Server:

Você pode então entrar novamente no diretório PAM, verificar os serviços e ver que o SSHD foi adicionado depois de terminar de instalar todos os arquivos. O serviço SSHD é destacado no “/etc/pam.diretório d ”.

Como configurar um programa Linux-Pam no Ubuntu 20.04

Cada chamada de cada módulo PAM resulta em sucesso ou falha. O resultado é tratado por Pam usando sinalizadores de controle. Os sinalizadores de controle especificam a importância relativa do sucesso ou falha de cada módulo com o objetivo geral de estabelecer a identidade do usuário com o serviço, e os módulos podem ser empilhados em uma determinada ordem. Existem quatro sinalizadores de controle pré -configurados disponíveis:

  • Necessário: Para a autenticação avançar, a resposta do pacote deve ser bem -sucedida. O usuário não será alertado se a tentativa falhar nesta fase até que todos os testes de embalagem testem seu uso, essa interface terminou de executar suas descobertas.
  • requisito: de acordo com os argumentos, se isso quebrar, tudo o mais também. Pam também será encerrado e um aviso de falha será entregue.
  • suficiente: se este módulo for bem -sucedido e todos os módulos exigidos anteriores também serão bem -sucedidos, nenhum módulo necessário é chamado.
  • Opcional: indica que o módulo não é essencial para se a solicitação de serviço do usuário é bem -sucedida ou sem sucesso. Seu valor é considerado apenas na ausência de sucessos conclusivos ou erros de módulos empilhados anteriores ou posteriores.
  • Inclua: Quando o parâmetro correspondente é correspondido, todas as linhas no arquivo de configuração são recuperadas por este sinalizador de controle.

Basta digitar o seguinte comando dentro do diretório PAM:

Como você pode ver, o termo das bandeiras de controle, que descrevemos anteriormente no seguinte arquivo PAM:

A diretriz geral a seguir deve ser usada ao escrever a configuração principal:

  • Serviço: o nome verdadeiro do programa
  • Tipo: interface/contexto/tipo de módulo
  • Flag Control: Se o módulo não concluir sua tarefa de autenticação, o sinalizador de controle determina como o PAM-API se comportará
  • Módulo: O nome do nome do caminho absoluto ou relativo do PAM
  • Módulo-Argumentador: Os parâmetros do módulo são uma lista de tokens que podem ser usados ​​para afetar a funcionalidade do módulo

Se você deseja impedir que os usuários root se conectem a qualquer sistema sobre o SSH, deve restringir o acesso ao serviço SSHD. Além disso, o acesso aos serviços de login deve ser restrito.

Vários módulos limitam o acesso e os privilégios concedidos, mas podemos utilizar o módulo incrivelmente adaptável e rico em recursos/Lib/Security/Pam ListFile.então. Vá para o /etc /pam.D/ Diretório, abra o arquivo do serviço de destino e faça as alterações necessárias da seguinte forma:

O regulamento a seguir deve ser inserido no arquivo:

Anteriormente, o tipo de módulo é auth (ou contexto). A bandeira de controle indica que, apesar de quão bem os outros módulos estão executando, se o módulo for utilizado, ele deve ter sucesso ou o resultado geral será uma falha. Um meio de ativar ou negar serviços com base em qualquer arquivo é fornecido pelo Pam ListFile.então módulo. orerr = sucesso é um argumento para o módulo. O item = usuário é um argumento do módulo que descreve o conteúdo do arquivo que precisa ser verificado. A opção Sense = Negar Module indica a ação a ser tomada se o item estiver localizado no arquivo. Caso contrário, o curso de ação oposto é solicitado. O arquivo com um item por linha é especificado pelo arquivo de opção do módulo =/etc/ssh/netiedusers.

A raiz do nome deve ser adicionada ao arquivo/etc/ssh/netiedusers após a criação:

Depois de fazer as permissões necessárias, salve as modificações e feche o arquivo:

Com a regra anterior em vigor, Pam será instruído a verificar o/etc/ssh/netiedusers e impedir que todos os usuários listados usem os serviços SSH e Login que avançam.

Conclusão

Programas que dependem da autenticação podem garantir que apenas aplicativos autorizados estejam em um sistema operacional Linux devido à API de alto nível robusta conhecida como PAM. Tem muito poder, mas também é bastante difícil de compreender e operar. Para aplicativos e serviços em execução no Linux, o PAM oferece suporte a autenticação dinâmica. O desempenho de um módulo pode ser avaliado usando qualquer um dos sinalizadores de controle listados neste manual. O PAM é frequentemente usado em muitos sistemas seguros, porque é mais amigável e confiável do que o mecanismo de autenticação de senha e usuário convencional.

Powershell
Como instalar o Windows PowerShell
Para instalar o PowerShell primeiro, navegue até a Microsoft Store e pesquise PowerShell. Depois que...
Benny Hilll DDS
Java
Exemplos de fluxo Java
Guia sobre os diferentes usos do fluxo Java na programação Java, como gerar a matriz e a coleção par...
Bryant Rowe Sr.
Força de vendas
Salesforce Apex - Limites do Governador
Tutorial sobre o que são os limites do governador e como eles podem ser tratados para diferentes cen...
Bryant Rowe Sr.
Pitão
Lista de Python para sequência separada por vírgula
Rickey Greenholt
Pitão
Como faço para verificar se uma string está vazia em python
Marlon Bernhard
Golang
Como converter string em tipo inteiro em Golang?
Marlon Bernhard
Oracle Linux
Como instalar o Oracle SQL Developer no Windows?
Pedro Macejkovic
html
Como criar pontos de bala HTML?
Marlon Bernhard
Powershell
O que é comando renomear-itens em PowerShell?
Tommie Konopelski
Sqlite
Como baixar e instalar ferramentas sqlite?
Ed Treutel IV
C Programação
Como encontrar o valor ASCII de um personagem na programação C?
Marlon Bernhard
php
Como usar a função Scandir no PHP
Carl Hintz DDS
php
O que é uma interface no PHP orientado a objetos
Orlando Green