pam

„Linux Pam“ saugos pamoka

„Linux Pam“ saugos pamoka
PAM reiškia „Pluggable Authentication Modules“, kuris teikia dinamišką „Linux“ operacinės sistemos programų ir paslaugų autentifikavimo palaikymą. Tai yra saugumo mechanizmas, leidžiantis apsaugoti naudojant PAM, o ne prašant vartotojo vardo ir slaptažodžio. PAM yra atsakingas už vykdomų failų autentifikavimą. Kiekviena programa susideda iš kelių konfigūruojamų failų, o kiekvieną - iš kelių modulių. Šie moduliai paleidžiami iš viršaus į apačią, tada PAM sukuria atsakymą, ar jis yra sėkmingas, ar nepavykęs, remiantis rezultatu.

PAM labai palengvina administratorius ir kūrėjus, nes jis pats pakeičia šaltinio kodo failą ir reikalauja minimalios sąveikos. Taigi, PAM taip pat gali būti apibrėžiamas kaip apibendrinta taikomųjų programų sąsaja, susijusi su autentifikavimo paslaugomis. Užuot perrašęs kodą, jis pats modifikuojamas.

Pam modulio sąsajos

Aut: Modulis yra atsakingas už autentifikavimo tikslus; jis patikrina slaptažodį.
Sąskaita: Vartotojui patvirtinus teisingus kredencialus, paskyros skyrius patikrina paskyros galiojimą, pvz., Galiojimo pabaigos ar prisijungimo laiko apribojimus ir kt.
Slaptažodis: Jis naudojamas tik slaptažodžiui pakeisti.
Sesija: Jis tvarko sesijas, turi vartotojo veiklos sąskaitą, pašto dėžučių kūrimą, vartotojo namų katalogo kūrimą ir kt.

Pamoka

  1. Norėdami patikrinti, ar jūsų programa naudoja „LINUX-PAM“, ar nenaudojate šios komandos savo komandoje:

    $ ldd / bin / su

    Kaip matome išvesties 2 eilutėje, egzistuoja lipbpam.failas, patvirtinantis užklausą.

  2. LINUX-PAM konfigūracija yra kataloge / etc / pam.d /. Atidarykite savo „Linux“ operacinės sistemos terminalą ir eikite į pam katalogą įvesdami komandą: $ cd / etc / pam.d /

    Tai katalogas, kuriame yra kitų PAM palaikančių paslaugų. Vienas gali


    patikrinkite turinį paleidę komandą $ ls pam kataloge, kaip parodyta aukščiau pateiktoje ekrano kopijoje.

    jei nerandate sshd kaip paslaugos, palaikančios PAM, turite įdiegti sshd serverį.

    SSH (arba saugus apvalkalas) yra užšifruotas tinklo įrankis, sukurtas tam, kad skirtingų tipų kompiuteriai / vartotojai galėtų saugiai prisijungti prie įvairių kompiuterių nuotoliniu būdu per tinklą. Turite įdiegti „openssh-server“ paketą, kurį galite padaryti paleidę šią komandą savo terminale.

    $ sudo apt-get install openssh-serverį

    Tai įdiegs visus failus, tada galėsite iš naujo įvesti pam katalogą ir patikrinti, ar nėra paslaugų, ir pamatyti, kad sshd buvo pridėtas.

  3. Tada įveskite šią komandą. VIM yra teksto rengyklė, atverianti paprasto teksto dokumentus, kuriuos vartotojas gali matyti ir redaguoti. $ vim sshd

    Jei norite išeiti iš „Vim“ redaktoriaus ir negalite to padaryti, paspauskite klavišą „Esc“ ir dvitaškį (:) tuo pačiu metu, kad atsidarytumėte įterpimo režime. Po dvitaškio įveskite q ir paspauskite enter. Čia q reiškia mesti.

    Galite slinkti žemyn ir pamatyti visus modulius, kurie buvo aprašyti anksčiau su tokiais terminais, kaip reikalaujama, apima, reikiamą ir pan. Kas tie?

    Jie vadinami PAM kontrolės vėliavomis. Panagrinėkime jų detales prieš pasinerdami į daug daugiau PAM paslaugų koncepcijų.

PAM valdymo vėliavos

  1. Būtina: Turi praeiti, kad būtų pasiekta sėkmė. Tai yra būtinybė, be kurios negalima apsieiti.
  2. Reikalingas: Priešingu atveju turi būti išlaikyta daugiau modulių.
  3. Pakanka: Jis nepaisomas, jei nepavyksta. Jei šis modulis bus išlaikytas, daugiau žymių nebus patikrinta.
  4. Pasirenkama: Tai dažnai nepaisoma. Jis naudojamas tik tada, kai sąsajoje yra tik vienas modulis.
  5. Įtraukti: Jis atneša visas eilutes iš kitų failų.

Dabar pagrindinė pagrindinės konfigūracijos rašymo taisyklė yra tokia: paslaugos tipo valdymo vėliavos modulio modulio argumentai

  1. PASLAUGOS: Tai yra programos pavadinimas. Tarkime, kad jūsų programos pavadinimas yra NUCUTA.
  2. TIPAS: Tai naudojamas modulio tipas. Tarkime, čia naudojamas modulis yra autentifikavimo modulis.
  3. VADOVAS: Tai yra naudojamos kontrolinės vėliavos tipas, vienas iš penkių tipų, kaip aprašyta anksčiau.
  4. MODULIS: Absoliutus PAM failo vardas arba santykinis kelio pavadinimas.
  5. MODULIAI-ARGUMENTAI: Tai yra atskiras žetonų sąrašas, skirtas valdyti modulio veikimą.

Tarkime, kad norite išjungti root vartotojo prieigą prie bet kokios sistemos per SSH, turite apriboti prieigą prie SSD paslaugos. Be to, prisijungimo paslaugos turi būti kontroliuojamos.

Yra keletas modulių, kurie riboja prieigą ir suteikia privilegijas, tačiau mes galime naudoti modulį / lib / security / pam_listfile.taip kuris yra labai lankstus ir turi daug funkcijų ir privilegijų.

  1. Atidarykite ir redaguokite failą / programą tikslinės paslaugos vim redaktoriuje, įvesdami / etc / pam.d / pirmiausia katalogą.

Ši taisyklė turi būti įtraukta į abu failus:

Autent reikia pam_listfile.taigi \ onerr = sėkmingas elementas = vartotojas sense = paneigti failą = / etc / ssh / deniedusers

Kur autentifikavimas yra autentifikavimo modulis, reikalinga valdymo žyma pam_listfile.taigi modulis suteikia failams privilegijas atmesti, onerr = sėkmingas yra modulio argumentas, elementas = vartotojas yra dar vienas modulio argumentas, nurodantis failų sąrašus ir turinį, kurį reikia patikrinti, sense = neigti yra dar vienas modulio argumentas, kuris bus, jei elementas yra rastas faile ir failas = / etc / ssh / deniedusers, nurodantis failo tipą, kuriame kiekvienoje eilutėje yra tik vienas elementas.

  1. Tada sukurkite kitą failą / etc / ssh / deniedusers ir pridėkite jame šaknį kaip pavadinimą. Tai galima padaryti vykdant komandą: $ sudo vim / etc / ssh / deniedusers
  1. Tada, pridėję šakninį vardą, išsaugokite pakeitimus ir uždarykite failą.
  2. Norėdami pakeisti failo prieigos režimą, naudokite „chmod commond“. Chmod komandos sintaksė yra
 chmod [nuoroda] [operatorius] [režimas] failas

Čia nuorodos naudojamos nurodant raidžių sąrašą, kuriame nurodoma, kam duoti leidimą.

Pavyzdžiui, čia galite parašyti komandą:

$ sudo chmod 600 / etc / ssh / deniedusers

Tai veikia paprastai. Jūs nurodote vartotojus, kuriems neleidžiama pasiekti jūsų failo, faile / etc / ssh / deniedusers ir nustatykite failo prieigos režimą naudodami komandą chmod. Nuo šiol bandydamas pasiekti failą dėl šios taisyklės PAM neleis visiems vartotojams, nurodytiems / etc / ssh / deniedusers faile, prieigos prie failo.

Išvada

PAM teikia dinamišką „Linux“ operacinės sistemos programų ir paslaugų autentifikavimo palaikymą. Šiame vadove nurodoma daugybė vėliavėlių, kurios gali būti naudojamos modulio rezultato rezultatams nustatyti. Tai patogu ir patikima. vartotojams nei tradicinis slaptažodis ir vartotojo vardo autentifikavimo mechanizmas, todėl PAM dažnai naudojamas daugelyje saugių sistemų.

Žaidimai Kaip įdiegti ir žaisti „Doom“ sistemoje „Linux“
Kaip įdiegti ir žaisti „Doom“ sistemoje „Linux“
Įvadas į Doom „Doom“ serija atsirado 90-aisiais, išleidus originalų „Doom“. Tai buvo tiesioginis hitas, o nuo to laiko žaidimų serija gavo daugybę apd...
Žaidimai „Vulkan“, skirta „Linux“ vartotojams
„Vulkan“, skirta „Linux“ vartotojams
Kiekvienos naujos kartos grafikos plokštės matome, kaip žaidimų kūrėjai peržengia grafinės ištikimybės ribas ir artėja prie fotorealizmo. Nepaisant vi...
Žaidimai „OpenTTD“ ir „Simutrans“
„OpenTTD“ ir „Simutrans“
Sukurti savo transporto modeliavimą gali būti smagu, atpalaiduojanti ir be galo viliojanti. Štai kodėl jūs turite įsitikinti, kad išbandėte kuo daugia...