Jak każdy typowy protokół uwierzytelnienia, użycie PAM opiera się na zrozumieniu szeregu koncepcji. Komponenty PAM, które powinieneś internalizować, a opanować grupy kontrolne i flagi kontrolne.
W szczególności Linux Pam ma cztery grupy zarządzania, które każdy użytkownik powinien wiedzieć. Zawierają:
W przypadku flag kontrolnych znajdziesz wymagane, wymagane, wystarczające i opcjonalne flagi kontrolne. Jak sama nazwa wskazuje, flagi kontrolne kontrolują dostęp do programów w oparciu o zachowanie każdego typu flagi kontrolnej.
Oprócz dwóch komponentów kolejnym znaczącym elementem PAM, który powinieneś rozważyć, to moduły PAM-i to właśnie zajmie ten artykuł. Ten artykuł zdefiniuje różne moduły PAM i dostarczy rentowne ilustracje lub przykłady.
Ale zanim zajmiemy się modułami, przyjrzyjmy się kolejności modułów PAM.
Zamów modułów
Kolejność modułów PAM jest niezbędna, ponieważ każdy moduł zależy od poprzedniej roli na stosie. Tak więc konfiguracja jak na poniższym zrzucie ekranu z łatwością pozwoli ci zalogować się:
Jednak kolejność na poniższym zrzucie ekranu jest nieprawidłowa i nie pozwoli Ci uzyskać dostępu:
10 najlepszych podstawowych modułów PAM
W systemach istnieją następujące moduły PAM wbudowane i powinieneś być zaznaczający z każdym z nich, aby właściwe zastosowanie Linux Pam:
1. moduł PAM_SUCEDED_IF
Ten moduł kontroluje dostęp do użytkowników i grup. Na przykład możesz potwierdzić konta użytkowników za pomocą tego polecenia:
Poprzedni przykład oznacza, że tylko użytkownicy, których identyfikatory to 1000 lub 3000, mogą się zalogować.
Inny przykład jest jak w następującym poleceniu:
Poprzedni przykład określa, że tylko użytkownicy z identyfikatorami użytkowników równymi lub większymi niż 2000 mogą uzyskać dostęp do usługi lub programu.
Przykład używania parametru grupy jest pokazany w następujący sposób:
2. Moduł Pam_deny
Moduł Pam_Deny jest powszechnie używany do odmowy lub ograniczenia dostępu. Po użyciu moduł zwróci wynik inny niż OK po przetworzeniu. Korzystanie z tego modułu na końcu stosu modułu chroni wszelkie możliwe błędne konfiguracja. Jednak użycie go na początku stosu modułu wyłączy twoją usługę, jak pokazano na poniższym rysunku:
Co ciekawe, możesz użyć tego modułu z Konto, autoryzm, hasło, I sesja grupy zarządzania.
3. Moduł Pam_Access
Moduł PAM_ACCESS to kolejny moduł, którego można użyć ze wszystkimi grupami zarządzania. Działa w taki sam sposób, jak moduł PAM_SUCEDE_IF. Jednak moduł PAM_SUCEDE_IF nie sprawdza szczegółów logowania z sieciowych hostów, podczas gdy moduł PAM_ACCESS na tym koncentruje się.
Następnie możesz wpisać reguły dostępu, jak widać na poniższych liczbach:
I
Reguły stwierdzają, że tylko użytkownicy w Linhinttecks mogą się zalogować. Znaki + i - w regule pozwalają odpowiednio i odmówić. Ten moduł jest również użyteczny ze wszystkimi grupami zarządzania.
4. Moduł pam_nologin
Ten moduł jest selektywny i umożliwia tylko logowanie root, jeśli plik istniał. W przeciwieństwie do poprzednich modułów, których można użyć ze wszystkimi grupami zarządzania, ten moduł jest tylko użyteczny Auth I konto grupy zarządzania.
5. Moduł pam_cracklib
Cyberprzestępczość rośnie, a silne hasła są obowiązkowe. Ten moduł ustawia reguły, jak silne mogą uzyskać hasła. W poniższym przykładzie moduł zapewnia maksymalnie 4 szanse na wybranie silnego niepowodzenia hasła, do którego wyjdzie. Ponownie moduł zapewnia, że możesz wybrać tylko hasło o wartości 12 lub więcej znaków.
6. Moduł PAM_LOCALUSER
Ten moduł jest często używany do sprawdzenia, czy użytkownik jest w /etc /passwd. Możesz użyć tego modułu ze wszystkimi grupami zarządzania, w tym Auth, hasło, sesja, I konto.
7. Moduł PAM_ROOTOK
Tylko użytkownicy root mogą uruchomić tę usługę, ponieważ sprawdza, czy UID to 0. Zatem ten moduł jest przydatny, gdy usługa jest poświęcona tylko użytkownikom root. Jest użyteczny bez żadnej innej grupy zarządzającej oprócz Auth Grupa zarządzająca.
8. Moduł PAM_MYSQL
Możesz użyć modułu PAM_MYSQL, aby weryfikować użytkowników, a nie sprawdzić ich poświadczenia w stosunku do /etc /shadow. Można użyć weryfikacji użytkowników za pomocą parametrów PAM_MYSQL. Możesz go zainstalować za pomocą następującego polecenia, jeśli nie masz go w swoim systemie. To kolejny moduł, którego można użyć ze wszystkimi grupami zarządzania:
9. Moduł PAM_LIMITS
Jeśli chcesz ustawić limity zasobów systemowych, potrzebujesz modułu PAM_LIMITS. Ten moduł wpływa na wszystkich, w tym użytkowników root korzystających z pliku konfiguracyjnego limitów dostępnych w limitach/etc/bezpieczeństwo/.D/ Directory. Jest to korzystne w ochronie zasobów systemowych i jest użyteczny tylko w sesja Grupa zarządzająca.
Limity ustawione w limitach/etc/bezpieczeństwo/.Plik CONF może być twardy lub miękki. Tylko użytkownicy root mogą zmienić wartość limitu w twardych limitach, podczas gdy zwykli użytkownicy nie mogą. Z drugiej strony nawet zwykli użytkownicy mogą również zmienić wartość limitu.
Ponownie limity można zaklasyfikować jako procesor, FSIZE, DANE, NPROC i wiele innych. Dobry przykład pokazano na poniższym rysunku:
Pierwszy limit członków Linhintadmins ustawia liczbę procesów dla każdego członka na 30. Z drugiej strony drugi limit dotyczy członków Linhintechsa i ustawia dla nich czas procesora na 4000 minut.
10. Moduł PAM_RHOSTS
Wykonuje standardowe uwierzytelnianie sieciowe dla usług i programów, często tradycyjnie wdrażane między innymi w RSH i RLOGIN. Trzy dostępne opcje obejmują debugowanie, superuser i ciche. Jest to tylko użyteczne z grupą zarządzania Auth i funkcjami w poniższym przykładzie:
Wniosek
To prowadzi nas do końca tego artykułu. Mamy nadzieję, że dziesięć podstawowych modułów Linux Pam okaże się przydatne w Twojej podróży do nauki i użycia PAM.