Moduli di base Linux PAM
Come ogni tipico protocollo di autenticazione, l'uso di PAM si basa sulla comprensione di una serie di concetti. I componenti PAM che dovresti interiorizzare e master includono i gruppi di controllo e le bandiere di controllo.
In particolare, Linux Pam ha quattro gruppi di gestione che ogni utente dovrebbe sapere. Loro includono:
- Gruppo di auth - Aiutano a convalidare gli utenti. Verificano il nome utente, la password e altri dettagli di autenticazione.
- Gruppo di account - Controllano l'accesso a un servizio o un programma come il numero di volte in cui è necessario accedere o utilizzare un servizio. Controllano anche le altre condizioni come la scadenza del conto e il tempo.
- Gruppo di sessioni - Questo gruppo si assume la responsabilità dell'ambiente di servizio, in particolare nell'avvio e nella fine di una sessione.
- Gruppo di password - Questo gruppo è utile quando si aggiorna le password.
Per i flag di controllo, troverai flag di controllo necessari, richiesti, sufficienti e opzionali. Come suggerisce il nome, i flag di controllo controllano l'accesso ai programmi in base al comportamento di ciascun tipo di flag di controllo.
A parte i due componenti, un altro componente PAM significativo che dovresti considerare sono i moduli PAM e questo è ciò che questo articolo gestirà. Questo articolo definirà i vari moduli PAM e fornirà illustrazioni o esempi praticabili.
Ma prima di esaminare i moduli, esaminiamo l'ordine dei moduli PAM.
Ordine dei moduli
L'ordine dei moduli PAM è vitale poiché ogni modulo dipende dal ruolo precedente sullo stack. Quindi, una configurazione come nella seguente schermata consentirà facilmente di accedere:
Tuttavia, l'ordine nella seguente screenshot non è corretto e non consentirà un accesso:
Top 10 moduli PAM di base
I seguenti moduli PAM esistono nei sistemi e dovresti essere a conoscenza di ciascuno di essi per l'uso corretto di Linux PAM:
1. Modulo PAM_SUCCETE_IF
Questo modulo controlla l'accesso a utenti e gruppi. Ad esempio, è possibile convalidare gli account utente utilizzando questo comando:
L'esempio precedente indica che solo gli utenti i cui ID sono 1000 o 3000 possono accedere.
Un altro esempio è come nel seguente comando:
L'esempio precedente specifica che solo gli utenti con gli ID utente pari o superiori a 2000 possono accedere al servizio o al programma.
Un esempio di utilizzo di un parametro ingroup è come mostrato nei seguenti:
2. Modulo Pam_deny
Il modulo Pam_Deny è comunemente usato per negare o limitare un accesso. Se utilizzato, il modulo restituirà un risultato non OK all'elaborazione. L'uso di questo modulo alla fine dello stack del modulo protegge eventuali errate configurazioni. Tuttavia, usarlo all'inizio di uno stack del modulo disabiliterà il tuo servizio, come mostrato nella figura seguente:
È interessante notare che puoi usare questo modulo con il Account, Auth, Password, E sessione Gruppi di gestione.
3. Modulo PAM_Access
Il modulo PAM_ACCESS è un altro modulo che puoi utilizzare con tutti i gruppi di gestione. Funziona allo stesso modo del modulo PAM_SUCCETE_IF. Tuttavia, il modulo PAM_SUCCETE_IF non controlla i dettagli di accesso dagli host in rete, mentre il modulo PAM_ACCESS si concentra su questo.
È quindi possibile digitare le regole di accesso come visualizzato nelle seguenti figure:
E
Le regole affermano che solo gli utenti all'interno di LinhintTecks possono accedere. I segni + e - nella regola consentono e negano, rispettivamente. Questo modulo è anche utilizzabile con tutti i gruppi di gestione.
4. modulo pam_nologin
Questo modulo è selettivo e consente solo alla root di accedere al file. A differenza dei moduli precedenti, che puoi utilizzare con tutti i gruppi di gestione, questo modulo è utilizzabile solo con AUTH E account Gruppi di gestione.
5. Modulo Pam_Cracklib
Il crimine informatico è in aumento e le password forti sono obbligatorie. Questo modulo imposta le regole per quanto possono ottenere le tue password. Nell'esempio seguente, il modulo offre fino a 4 possibilità di scegliere una forte mancata mancata uscita di cui uscirà. Ancora una volta, il modulo prevede che è possibile scegliere solo una password di 12 o più caratteri.
6. Modulo PAM_LOCALUSER
Questo modulo viene spesso utilizzato per verificare se un utente è in /etc /passwd. È possibile utilizzare questo modulo con tutti i gruppi di gestione, inclusi AUTH, password, sessione, E account.
7. Modulo PAM_Rootok
Solo gli utenti root possono eseguire questo servizio poiché controlla se l'UID è 0. Pertanto, questo modulo è utile quando un servizio è dedicato solo agli utenti root. È utilizzabile senza altro gruppo di gestione tranne il AUTH Gruppo di gestione.
8. Modulo PAM_MYSQL
È possibile utilizzare il modulo PAM_MYSQL per convalidare gli utenti anziché controllare le loro credenziali rispetto al /etc /ombra. È utilizzabile per convalidare gli utenti con i parametri PAM_MYSQL. È possibile installarlo utilizzando il seguente comando se non lo si dispone nel sistema. Questo è un altro modulo che puoi utilizzare con tutti i gruppi di gestione:
9. Modulo PAM_LIMITS
Se è necessario impostare i limiti sulle risorse del sistema, il modulo PAM_LIMITS è ciò di cui hai bisogno. Questo modulo influisce su tutti, inclusi gli utenti root che utilizzano il file di configurazione dei limiti disponibili in/etc/sicurezza/limiti.D/ directory. È utile nel proteggere le risorse del sistema ed è utilizzabile solo in sessione Gruppo di gestione.
I limiti impostati in/etc/sicurezza/limiti.Il file conf può essere duro o morbido. Solo gli utenti di root possono modificare il valore limite in limiti difficili, mentre gli utenti ordinari non possono. D'altra parte, anche gli utenti ordinari possono anche modificare il valore limite.
Ancora una volta, i limiti possono essere classificati come CPU, Fsize, dati, NPROC e molti altri. Un buon esempio è mostrato nella figura seguente:
Il primo limite per i membri di Linhintadmins imposta il numero di processi per ciascun membro a 30. D'altra parte, il secondo limite è per i membri di Linhintechs e imposta la durata della CPU a 4000 minuti.
10. Modulo PAM_RHOSTS
Esegue l'autenticazione di rete standard per servizi e programmi spesso tradizionalmente implementati in RSH e RLOGIN, tra gli altri. Le tre opzioni disponibili includono debug, superuser e silenzioso. È utilizzabile solo con il gruppo di gestione delle autore e le caratteristiche nel seguente esempio:
Conclusione
Questo ci porta alla fine di questo articolo. Speriamo che i dieci moduli PAM Linux di base si riveleranno utili nel tuo viaggio per imparare e usare PAM.