Како функционише и конфигурише ПАМ у Линуксу

Заштита при управљању корисницима у Линук окружењима је од суштинског значаја и увек морамо тражити најбоље опције доступне у ту сврху било интерно или екстерно. Један од најсигурнијих метода за повећање безбедности у Линук системима је администрација на много ефикаснији начин. начин на који се корисници аутентификују у систему, то дозвољава само оним корисницима који имају исправне акредитиве да имају приступ систему.

У овом случају имамо функционалност под називом Линук -ПАМ (Плуггабле Аутхентицатион Модулес фор Линук - Плуггабле Аутхентицатион Модулес фор Линук) која је развијена као скуп библиотека помоћу којих ће администратор система моћи да изабере начин на који апликације потврдити аутентичност корисника на локалној мрежи.
Приликом састављања апликације компатибилне с ПАМ -ом, можемо се пребацивати између кориштених механизама провјере аутентичности.

Да бисмо боље разумели овај концепт, можемо анализирати начин на који се корисници тренутно аутентификују, пре свега идентитет корисника се проверава када се унесе лозинка додељена кориснику, те лозинке се чувају у / етц / пассвд датотеци, тада се привилегија дефинише у облику личног корисничког идентификатора који се назива УИД и чланство у доступним групама, услугама и апликацијама је доступно на основу личног и групног идентитета сваког корисника.

ПАМ библиотека је конфигурисана локално у системској датотеци /етц/пам.цонф или у низу датотека које се налазе у /етц/пам.д/ ради аутентификације корисничког захтева путем модула за потврду идентитета доступних само локално.

Модули су доступни у / либ / сецурити или / либ64 / сецурити директорију. Синтакса конфигурацијске датотеке /етц/пам.цонф састоји се од листе правила и свако правило се налази у једној линији, али се може проширити линијом која завршава `\ '. Коментари претходе ознаке '#' и протежу се до следећег краја изабраног реда.

Формат сваког правила је збирка картица раздвојених размацима, прве три не разликују велика и мала слова овако:

 тип услуге контролни модул-путања модул-аргументи
Параметри који се користе су:

СервицеТо је прави назив апликације.
ТипТо је тип модула / контекста / интерфејса.
КонтролаОдноси се на понашање ПАМ АПИ -ја у случају да модул не може извршити задатак провјере аутентичности
Путања до модулаТо је апсолутни назив датотеке или релативна путања ПАМ -а.
модул-аргументиОзначава листу жетона одвојених размаком у сврху контроле понашања модула.

Синтакса сваке датотеке у /етц/пам.д/ је идентична и састоји се од редова следеће структуре:

 откуцајте цонтрол-флаг модуле модуле-аргументс
На пример, дефиниција правила (без аргумената модула) доступна у /етц/пам.д/ссхд датотеци, која не дозвољава пријављивање без корена када је /етц /нологин доступна је:
 потребан рачун пам_нологин.со

1. Како управљати ПАМ контролама и групама на Линук -у


Задаци ПАМ аутентификације су каталогизирани у четири засебне административне групе, од којих свака управља различитим аспектима корисничког захтјева за ограничену услугу.

Модул је повезан са једном од ових врста административних група на следећи начин:

рачунОва вредност нуди услуге за верификацију налога са аспектима као што је истек корисничке лозинке или ако је кориснику дозвољен приступ траженој услузи.
АутентикацијаСа овом вредношћу корисник је аутентификован и кориснички акредитиви се могу конфигурисати.
ЛозинкаОмогућавају корисницима да ажурирају лозинке и интегрисани су са ПАМ модулима за аутентификацију
седницаОн је задужен за управљање радњама које се спроводе на почетку и на крају сесије.

ПАМ објектне датотеке се налазе у следећем директорију / либ / сецурити / или / либ64 / сецурити у зависности од коришћене архитектуре.

Контролне заставице подржане у ПАМ -у су:

реквизитОвим индикатором квар одмах враћа контролу апликацији, што указује на природу квара првог модула.
потребанУказано је да су сви модули неопходни за правилно извршавање либпама и враћање успеха апликацији
довољанОвај модул води до тренутног и исправног враћања апликације, у овом случају се занемарује квар овог модула.
опционоУспех или неуспех овог модула се генерално не бележи у овом индикатору

Постоје и друге вредности, као што су:

укључујуУкључује све линије типа засноване на одређеној конфигурацијској датотеци као аргумент за ову контролу.
субстацкУкључује све редове датог типа из наведене конфигурацијске датотеке као аргумент ове посебне контроле.

2. Како проверити да ли је програм компатибилан са ПАМ -ом у Линук -у


Да бисте имплементирали ПАМ у апликацију, он мора бити написан и компајлиран посебно за употребу ПАМ -а, да бисмо проверили да ли је та апликација компатибилна или не, на пример, ССХ, извршићемо следеће:
 судо лдд / уср / сбин / ссхд | греп либпам.со

ЕНЛАРГЕ

3. Како ограничити роот приступ путем ССХ -а са ПАМ -ом на Линук -у


ПАМ се може користити за онемогућавање приступа роот корисника систему путем ССХ -а и програма за пријаву, што помаже у повећању безбедносних опција система.

Ако желимо то да урадимо, користићемо модул /либ/сецурити/пам_листфиле.со који нам даје могућност да ограничимо привилегије одређених налога.

Корак 1
Да бисмо извршили ову радњу, приступићемо датотеци /етц/пам.д/ на следећи начин:

 судо нано /етц/пам.д/ссхд
ИЛИ
 судо нано /етц/пам.д/логин
Корак 2
Тамо ћемо видети следеће:

ЕНЛАРГЕ

Корак 3
За овај случај додаћемо следеће редове на крају:

 аутх потребна пам_листфиле.со \ онерр = успешна ставка = смисао корисника = одбијање датотеке = / етц / ссх / одбијеникорисници

ЕНЛАРГЕ

У овом случају додани су следећи параметри:

аутхТо је тип модула који ћете користити
потребанТо је контролна заставица са којом се, ако се модул користи, мора проћи или укупни резултат неће успети без обзира на статус других модула.
пам_листфиле.соТо је модул са којим је дозвољено одбијање или допуштање услуга заснованих на произвољној датотеци.
онерр = успетиТо је аргумент модула.
итем = корисникТо је аргумент модула у којем је назначено шта је наведено у датотеци и то се мора проверити.
смисао = порицатиОдноси се на аргумент модула у којем је наведена радња коју треба извршити ако се нађе у датотеци, ако није, тражи се супротна радња.
филе = / етц / ссх / дисабледусерсТо је аргумент модула у којем је наведена датотека која садржи један елемент по реду.

Спремамо промене помоћу тастера Цтрл + О и излазимо из уређивача помоћу Цтрл + Кс.

Након тога морамо да направимо датотеку / етц / ссх / дисабледусерс и у њу додамо роот корисника и касније доделимо одговарајуће дозволе:

 судо цхмод 600 / етц / ссх / дисабледусерс

4. Како напредно конфигурирати ПАМ на Линук -у


Посебна вриједност је задана вриједност у ПАМ -у, па све вриједности нису експлицитно наведене, стога вриједност Н одговара повратном коду функције која се позива у модулу за који је линија дефинирана.
Радња има неке аргументе као што су:

игнорисатиУ случају коришћења ове акције са хрпом модула, статус повратка модула не генерише повратни код из апликације.
лошеУказује на то да повратни код треба сматрати индикативним за кварове коришћеног модула.
умретиОн испуњава исту функцију као и лош, али може прекинути гомилу модула и ПАМ се одмах враћа у апликацију.
ДоброОва вредност говори ПАМ -у да ће администратор система користити овај повратни код директно на повратном коду читавог низа модула.
ГотовоИспуњава исту улогу као Ок, али може прекинути гомилу модула
Н(цео број без знака) - Еквивалентно је ок, али може прескочити следећих Н модула у стеку.
РесетовањеКоришћењем овог параметра брише се сва меморија стања стека модула и поново се покреће са слагањем следећег модула.

Свака од основних ПАМ речи је обавезна; рекуисите; довољне и изборне, имају еквивалентан израз у смислу синтаксе […], помоћу које ће бити могуће написати сложенија правила, као што су:

потребан[успех = ок нови_аутхток_рекд = ок игнорисати = занемарити подразумевано = лоше]
реквизит[успех = ок нови_аутхток_рекд = ок игнорисати = занемарити подразумевано = умрети]
довољан[успех = готово нев_аутхток_рекд = готово подразумевано = занемари]
опционо[успех = ок нови_аутхток_рекд = ок подразумевано = занемари]

Корак 1
На пример, у ЦентОС 7 можемо видети правила ПАМ датотеке извршавањем:

 судо нано /етц/пам.д/постлогин

ЕНЛАРГЕ

Корак 2
Ако приступимо датотеци:

 судо нано /етц/пам.д/смартцард-аутх

ЕНЛАРГЕ

Да бисмо приступили додатној ПАМ помоћи, можемо извршити:

 човек пам.д
Са ПАМ -ом ће бити могуће креирати или уређивати правила за бољу администрацију процеса аутентификације у Линуку.

wave wave wave wave wave