Grundlegende Linux -PAM -Module

Fr. Chris Frisch
Grundlegende Linux -PAM -Module
Linux Pam ist eine leistungsstarke API, die mit mehreren Vorzügen einhergeht. Erstens bietet es ein Standardauthentifizierungsschema, das für verschiedene Anwendungen verwendet werden kann. Es bietet auch unschlagbare Flexibilität für Anwendungsentwickler und Systemadministratoren. Schließlich ermöglicht Linux PAM die Entwicklung von Programmen, ohne unbedingt ihre jeweiligen Authentifizierungsprotokolle zu erstellen.

Wie jedes typische Authentifizierungsprotokoll hängt die Verwendung von PAM auf das Verständnis einer Reihe von Konzepten an. Die PAM -Komponenten, die Sie internalisieren und beherrschen sollten, enthalten die Kontrollgruppen und Steuerflags.

Insbesondere hat Linux Pam vier Verwaltungsgruppen, die jeder Benutzer wissen sollte. Sie beinhalten:

  • Auth Group - Sie helfen bei der Validierung der Benutzer. Sie überprüfen den Benutzernamen, das Passwort und andere Authentifizierungsdetails.
  • Kontengruppe - Sie steuern den Zugriff auf einen Dienst oder ein Programm wie die Häufigkeit, mit der Sie auf einen Dienst zugreifen oder einen Dienst nutzen sollten. Sie kontrollieren auch die anderen Bedingungen wie Ablauf und Zeit für die Kontoe.
  • Sitzungsgruppe - Diese Gruppe übernimmt die Verantwortung für die Serviceumgebung, insbesondere für die Start und Beendigung einer Sitzung.
  • Passwortgruppe - Diese Gruppe ist nützlich, wenn die Passwörter aktualisiert werden.

Für Kontrollflags finden Sie die erforderlichen, erforderlichen, ausreichenden und optionalen Steuerflags. Wie der Name schon sagt, steuern Sie den Zugriff auf Programme basierend auf dem Verhalten jedes Kontrollflag -Typs.

Abgesehen von den beiden Komponenten sind eine weitere bedeutende PAM-Komponente, die Sie in Betracht ziehen sollten. Dieser Artikel definiert die verschiedenen PAM -Module und liefert praktikable Abbildungen oder Beispiele.

Aber bevor wir uns die Module ansehen, schauen wir uns in die Reihenfolge der PAM -Module an.

Module Reihenfolge

Die Reihenfolge der PAM -Module ist von entscheidender Bedeutung, da jedes Modul von der vorherigen Rolle im Stapel abhängt. Mit einer Konfiguration wie im folgenden Screenshot können Sie sich leicht anmelden:

Die Reihenfolge im folgenden Screenshot ist jedoch falsch und ermöglicht Ihnen keinen Zugriff:

Top 10 grundlegende PAM -Module

Die folgenden PAM -integrierten Module existieren in Ihren Systemen, und Sie sollten mit jedem von ihnen für die ordnungsgemäße Verwendung von Linux PAM vertraut sein:

1. PAM_SUCPEDEPE_IF -Modul
Dieses Modul steuert den Zugriff auf Benutzer und Gruppen. Sie können beispielsweise die Benutzerkonten mit diesem Befehl validieren:

Das vorherige Beispiel bedeutet, dass nur die Benutzer, deren IDs 1000 oder 3000 sind.

Ein weiteres Beispiel ist wie im folgenden Befehl:

Das vorherige Beispiel gibt an, dass nur die Benutzer mit den Benutzer -IDs von oder mehr als 2000 auf den Dienst oder das Programm zugreifen können.

Ein Beispiel für die Verwendung eines Ingroup -Parameters ist wie im Folgenden zu sehen:

2. PAM_DENY -Modul

Das PAM_DDENY -Modul wird üblicherweise zum Ablehnen oder Einschränken eines Zugriffs verwendet. Bei der Verwendung gibt das Modul bei der Verarbeitung ein Nicht-OK-Ergebnis zurück. Die Verwendung dieses Moduls am Ende Ihres Modulstapels schützt eine mögliche Missverständnis. Wenn Sie es zu Beginn eines Modulstacks verwenden, deaktiviert es jedoch Ihren Service, wie in der folgenden Abbildung zu sehen ist:

Interessanterweise können Sie dieses Modul mit dem verwenden Konto, Auth, Passwort, Und Sitzung Managementgruppen.

3. PAM_ACCESS -Modul
Das PAM_ACCESS -Modul ist ein weiteres Modul, das Sie mit allen Verwaltungsgruppen verwenden können. Es funktioniert genauso wie das Modul PAM_SUCPECEPE_IF. Das Modul PAM_SUCPEPET_IF überprüft jedoch die Anmeldedetails nicht von den vernetzten Hosts, während sich das PAM_ACCESS -Modul darauf konzentriert.

Sie können dann die Zugriffsregeln eingeben, wie sie in den folgenden Abbildungen angezeigt werden:

Und

Die Regeln geben an, dass sich nur die Benutzer innerhalb von LinHinttecks ​​anmelden können. Die + und - Zeichen in der Regel erlauben und leugnen jeweils. Dieses Modul ist auch mit allen Verwaltungsgruppen verwendet.

4. PAM_Nologin Modul
Dieses Modul ist selektiv und ermöglicht es dem Stamm nur, sich anzumelden, falls die Datei vorhanden ist. Im Gegensatz zu den vorherigen Modulen, die Sie mit allen Verwaltungsgruppen verwenden können, ist dieses Modul nur mit verwendbar Auth Und Konto Managementgruppen.

5. PAM_CRACKLIB -Modul
Cyberkriminalität steigt und starke Passwörter sind obligatorisch. Dieses Modul legt die Regeln fest, wie stark Ihre Passwörter erhalten können. Im folgenden Beispiel bietet das Modul bis zu 4 Chancen, einen starken Passwortfehler auszuwählen, zu dem es beendet wird. Auch das Modul sieht vor, dass Sie nur ein Passwort von 12 oder mehr Zeichen auswählen können.

6. PAM_LOCALUSER -Modul
Dieses Modul wird häufig verwendet, um zu überprüfen, ob sich ein Benutzer in der /etc /passwd befindet. Sie können dieses Modul mit allen Verwaltungsgruppen einschließlich verwenden Auth, Passwort, Sitzung, Und Konto.

7. PAM_ROOTOK -Modul
Nur die Root -Benutzer können diesen Dienst ausführen, da er überprüft wird, ob die UID 0 beträgt. Somit ist dieses Modul nützlich, wenn ein Dienst nur den Stammnutzern gewidmet ist. Es ist ohne andere Verwaltungsgruppe außer der verwendbar Auth Verwaltungsgruppe.

8. PAM_MYSQL -Modul
Sie können das PAM_MYSQL -Modul verwenden, um die Benutzer zu validieren, anstatt ihre Anmeldeinformationen gegen das /etc /shadow zu überprüfen. Es ist verwendet, die Benutzer mit den PAM_MYSQL -Parametern zu validieren. Sie können es mit dem folgenden Befehl installieren, wenn Sie es nicht in Ihrem System haben. Dies ist ein weiteres Modul, das Sie mit allen Verwaltungsgruppen verwenden können:

9. pam_limits Modul
Wenn Sie die Grenzen Ihrer Systemressourcen festlegen müssen, ist das PAM_LIMITS -Modul das, was Sie benötigen. Dieses Modul betrifft alle, einschließlich der Root -Benutzer, die die Grenzkonfigurationsdatei verwenden, die in/etc/Sicherheit/Grenzen verfügbar sind.D/ Verzeichnis. Es ist vorteilhaft, die Systemressourcen zu schützen und nur in der Nutzung zu nutzen Sitzung Verwaltungsgruppe.

Die Grenzen in/etc/Sicherheit/Grenzen festlegen.Conf -Datei kann entweder hart oder weich sein. Nur die Root -Benutzer können den Grenzwert in harten Grenzen ändern, während die gewöhnlichen Benutzer dies nicht können. Andererseits können sogar gewöhnliche Benutzer auch den Grenzwert ändern.

Auch hier können Grenzen als CPU, FSIZE, Daten, NPROC und vieles mehr klassifiziert werden. Ein gutes Beispiel ist in der folgenden Abbildung dargestellt:

Die erste Grenze für die Mitglieder von LinHintadmins legt die Anzahl der Prozesse für jedes Mitglied auf 30 fest. Andererseits ist die zweite Grenze für die LinHintechs -Mitglieder und legt die CPU -Dauer für sie nach 4000 Minuten fest.

10. PAM_RHOSTS -Modul
Es führt die Standard -Netzwerkauthentifizierung für Dienste und Programme durch. Zu den drei verfügbaren Optionen gehören Debug, Superuser und Still. Es ist nur mit der Auth -Management -Gruppe und den Funktionen im folgenden Beispiel verwendet:

Abschluss

Das bringt uns zum Ende dieses Artikels. Hoffentlich erweisen sich die zehn grundlegenden Linux -PAM -Module als nützlich auf Ihrer Reise, um PAM zu lernen und zu verwenden.

Git
So schreiben Sie die jüngste Commit -Geschichte in Git um?
Um die Geschichte der Feststellung neu zu schreiben, kann der Befehl „Git Commit“ mit der Option -Am...
Jean Dengler
Zwangsversteigerung
Salesforce Apex - Karte
Tutorial über die Salesforce Apex Map und ihre Methoden, die in Triggerszenarien verwendet werden, u...
Kaya Wyludda
C ++
C ++ - Programm zur Umwandlung Dezimales in Binary
Um eine Dezimalzahl in Binär in C ++ umzuwandeln, teilen Sie die Dezimalzahl um 2, bis die Dezimalza...
Christopher Lammert
Python
Python Stringio
Jean Dengler
Python
Python schreiben String in Datei
Frederik Rodehau
Python
Matplotlib Fettdruck
Fr. Chris Frisch
Php
So verwenden Sie Array_reverse -Funktion in PHP
Stephan Harms
Docker
Was sind die Schritte zum Bereitstellen eines Nginx -Bildes mit Docker?
Christopher Lammert
Docker
Was sind die Schritte, um Nginx in einem Docker -Container auf Ubuntu Top 10 auszuführen?.Top 10?
Jessica Schimmer
Java
Was ist Import Java.io.*; in Java?
Ansgar Radtke
Php
Wie man während der Schleife in PHP verwendet?
Stephan Harms
Php
Warum PHP in der Webentwicklung verwendet werden sollte
Hussein Burkhard
c scharf
Was ist der Unterschied zwischen Klasse und Objekt in C#
Hussein Burkhard