Podstawowe moduły Pam Linux

Albert Szcześniak
Podstawowe moduły Pam Linux
Linux Pam to potężny interfejs API, który ma kilka zalet. Po pierwsze, zapewnia standardowy schemat uwierzytelniania, który jest użyteczny w różnych aplikacjach. Zapewnia również niezrównaną elastyczność dla programistów aplikacji i administratorów systemów. Wreszcie, Linux Pam umożliwia opracowanie programów bez konieczności tworzenia odpowiednich protokołów uwierzytelniania.

Jak każdy typowy protokół uwierzytelnienia, użycie PAM opiera się na zrozumieniu szeregu koncepcji. Komponenty PAM, które powinieneś internalizować, a opanować grupy kontrolne i flagi kontrolne.

W szczególności Linux Pam ma cztery grupy zarządzania, które każdy użytkownik powinien wiedzieć. Zawierają:

  • Grupa Auth - Pomagają w sprawdzaniu poprawności użytkowników. Weryfikują nazwę użytkownika, hasło i inne szczegóły uwierzytelnienia.
  • Konto grupowe - Kontrolują dostęp do usługi lub programu, takiej jak liczba razy, w których należy uzyskać dostęp lub korzystać z usługi. Kontrolują również inne warunki, takie jak wygaśnięcie konta i czas.
  • Grupa sesji - Ta grupa bierze odpowiedzialność za środowisko serwisowe, szczególnie podczas rozpoczęcia i zakończenia sesji.
  • Grupa haseł - Ta grupa przydaje się podczas aktualizacji haseł.

W przypadku flag kontrolnych znajdziesz wymagane, wymagane, wystarczające i opcjonalne flagi kontrolne. Jak sama nazwa wskazuje, flagi kontrolne kontrolują dostęp do programów w oparciu o zachowanie każdego typu flagi kontrolnej.

Oprócz dwóch komponentów kolejnym znaczącym elementem PAM, który powinieneś rozważyć, to moduły PAM-i to właśnie zajmie ten artykuł. Ten artykuł zdefiniuje różne moduły PAM i dostarczy rentowne ilustracje lub przykłady.

Ale zanim zajmiemy się modułami, przyjrzyjmy się kolejności modułów PAM.

Zamów modułów

Kolejność modułów PAM jest niezbędna, ponieważ każdy moduł zależy od poprzedniej roli na stosie. Tak więc konfiguracja jak na poniższym zrzucie ekranu z łatwością pozwoli ci zalogować się:

Jednak kolejność na poniższym zrzucie ekranu jest nieprawidłowa i nie pozwoli Ci uzyskać dostępu:

10 najlepszych podstawowych modułów PAM

W systemach istnieją następujące moduły PAM wbudowane i powinieneś być zaznaczający z każdym z nich, aby właściwe zastosowanie Linux Pam:

1. moduł PAM_SUCEDED_IF
Ten moduł kontroluje dostęp do użytkowników i grup. Na przykład możesz potwierdzić konta użytkowników za pomocą tego polecenia:

Poprzedni przykład oznacza, że ​​tylko użytkownicy, których identyfikatory to 1000 lub 3000, mogą się zalogować.

Inny przykład jest jak w następującym poleceniu:

Poprzedni przykład określa, że ​​tylko użytkownicy z identyfikatorami użytkowników równymi lub większymi niż 2000 mogą uzyskać dostęp do usługi lub programu.

Przykład używania parametru grupy jest pokazany w następujący sposób:

2. Moduł Pam_deny

Moduł Pam_Deny jest powszechnie używany do odmowy lub ograniczenia dostępu. Po użyciu moduł zwróci wynik inny niż OK po przetworzeniu. Korzystanie z tego modułu na końcu stosu modułu chroni wszelkie możliwe błędne konfiguracja. Jednak użycie go na początku stosu modułu wyłączy twoją usługę, jak pokazano na poniższym rysunku:

Co ciekawe, możesz użyć tego modułu z Konto, autoryzm, hasło, I sesja grupy zarządzania.

3. Moduł Pam_Access
Moduł PAM_ACCESS to kolejny moduł, którego można użyć ze wszystkimi grupami zarządzania. Działa w taki sam sposób, jak moduł PAM_SUCEDE_IF. Jednak moduł PAM_SUCEDE_IF nie sprawdza szczegółów logowania z sieciowych hostów, podczas gdy moduł PAM_ACCESS na tym koncentruje się.

Następnie możesz wpisać reguły dostępu, jak widać na poniższych liczbach:

I

Reguły stwierdzają, że tylko użytkownicy w Linhinttecks ​​mogą się zalogować. Znaki + i - w regule pozwalają odpowiednio i odmówić. Ten moduł jest również użyteczny ze wszystkimi grupami zarządzania.

4. Moduł pam_nologin
Ten moduł jest selektywny i umożliwia tylko logowanie root, jeśli plik istniał. W przeciwieństwie do poprzednich modułów, których można użyć ze wszystkimi grupami zarządzania, ten moduł jest tylko użyteczny Auth I konto grupy zarządzania.

5. Moduł pam_cracklib
Cyberprzestępczość rośnie, a silne hasła są obowiązkowe. Ten moduł ustawia reguły, jak silne mogą uzyskać hasła. W poniższym przykładzie moduł zapewnia maksymalnie 4 szanse na wybranie silnego niepowodzenia hasła, do którego wyjdzie. Ponownie moduł zapewnia, że ​​możesz wybrać tylko hasło o wartości 12 lub więcej znaków.

6. Moduł PAM_LOCALUSER
Ten moduł jest często używany do sprawdzenia, czy użytkownik jest w /etc /passwd. Możesz użyć tego modułu ze wszystkimi grupami zarządzania, w tym Auth, hasło, sesja, I konto.

7. Moduł PAM_ROOTOK
Tylko użytkownicy root mogą uruchomić tę usługę, ponieważ sprawdza, czy UID to 0. Zatem ten moduł jest przydatny, gdy usługa jest poświęcona tylko użytkownikom root. Jest użyteczny bez żadnej innej grupy zarządzającej oprócz Auth Grupa zarządzająca.

8. Moduł PAM_MYSQL
Możesz użyć modułu PAM_MYSQL, aby weryfikować użytkowników, a nie sprawdzić ich poświadczenia w stosunku do /etc /shadow. Można użyć weryfikacji użytkowników za pomocą parametrów PAM_MYSQL. Możesz go zainstalować za pomocą następującego polecenia, jeśli nie masz go w swoim systemie. To kolejny moduł, którego można użyć ze wszystkimi grupami zarządzania:

9. Moduł PAM_LIMITS
Jeśli chcesz ustawić limity zasobów systemowych, potrzebujesz modułu PAM_LIMITS. Ten moduł wpływa na wszystkich, w tym użytkowników root korzystających z pliku konfiguracyjnego limitów dostępnych w limitach/etc/bezpieczeństwo/.D/ Directory. Jest to korzystne w ochronie zasobów systemowych i jest użyteczny tylko w sesja Grupa zarządzająca.

Limity ustawione w limitach/etc/bezpieczeństwo/.Plik CONF może być twardy lub miękki. Tylko użytkownicy root mogą zmienić wartość limitu w twardych limitach, podczas gdy zwykli użytkownicy nie mogą. Z drugiej strony nawet zwykli użytkownicy mogą również zmienić wartość limitu.

Ponownie limity można zaklasyfikować jako procesor, FSIZE, DANE, NPROC i wiele innych. Dobry przykład pokazano na poniższym rysunku:

Pierwszy limit członków Linhintadmins ustawia liczbę procesów dla każdego członka na 30. Z drugiej strony drugi limit dotyczy członków Linhintechsa i ustawia dla nich czas procesora na 4000 minut.

10. Moduł PAM_RHOSTS
Wykonuje standardowe uwierzytelnianie sieciowe dla usług i programów, często tradycyjnie wdrażane między innymi w RSH i RLOGIN. Trzy dostępne opcje obejmują debugowanie, superuser i ciche. Jest to tylko użyteczne z grupą zarządzania Auth i funkcjami w poniższym przykładzie:

Wniosek

To prowadzi nas do końca tego artykułu. Mamy nadzieję, że dziesięć podstawowych modułów Linux Pam okaże się przydatne w Twojej podróży do nauki i użycia PAM.

AWS
Co to jest podsieć na AWS VPC i jak z niej korzystać?
Podsieci AWS to podnetworkks wewnątrz izolowanej sieci (VPC), aby umieścić zasoby AWS oddzielone od ...
Pani Żaneta Pakuła
Programowanie C
Jak wydrukować adres zmiennej w programowaniu C?
Drukowanie adresu zmiennej w programowaniu C można wykonać za pomocą...
Makary Stasiak
Golang
Jak używać czasu.Funkcja snu w Golang
Czas.Funkcja sleep () jest często używana do tworzenia opóźnień między operacją lub w przypadku krót...
Pani Julia Szwed
Pyton
Python Write String do pliku
Renata Borowiec
Pyton
SEABORD TSPLOT
Bruno Dobrowolski
Pyton
MATPLOTLIB 2D Histogram
Maja Kucharski
Sqlite
Jak korzystać z aplikacji internetowej SQLite Viewer
Pani Alicja Szafrański
C ++
Jak używać chrono w c++?
Renata Borowiec
Baza danych Oracle
Jak połączyć się z bazą danych Oracle Top 10C za pomocą programisty SQL?
Maja Kucharski
AWS
Jak korzystać z cyklu życia instancji w AWS?
Maja Kucharski
html
Jak dodawać i odtwarzać filmy na stronie internetowej za pomocą HTML?
Larysa Witczak
PowerShell
Jak korzystać z cmdlet ruchu w PowerShell?
Makary Stasiak
PowerShell
Jakie są kroki, aby uruchomić Windows PowerShell
Sebastian Kaczyński