Wie jedes typische Authentifizierungsprotokoll hängt die Verwendung von PAM auf das Verständnis einer Reihe von Konzepten an. Die PAM -Komponenten, die Sie internalisieren und beherrschen sollten, enthalten die Kontrollgruppen und Steuerflags.
Insbesondere hat Linux Pam vier Verwaltungsgruppen, die jeder Benutzer wissen sollte. Sie beinhalten:
Für Kontrollflags finden Sie die erforderlichen, erforderlichen, ausreichenden und optionalen Steuerflags. Wie der Name schon sagt, steuern Sie den Zugriff auf Programme basierend auf dem Verhalten jedes Kontrollflag -Typs.
Abgesehen von den beiden Komponenten sind eine weitere bedeutende PAM-Komponente, die Sie in Betracht ziehen sollten. Dieser Artikel definiert die verschiedenen PAM -Module und liefert praktikable Abbildungen oder Beispiele.
Aber bevor wir uns die Module ansehen, schauen wir uns in die Reihenfolge der PAM -Module an.
Module Reihenfolge
Die Reihenfolge der PAM -Module ist von entscheidender Bedeutung, da jedes Modul von der vorherigen Rolle im Stapel abhängt. Mit einer Konfiguration wie im folgenden Screenshot können Sie sich leicht anmelden:
Die Reihenfolge im folgenden Screenshot ist jedoch falsch und ermöglicht Ihnen keinen Zugriff:
Top 10 grundlegende PAM -Module
Die folgenden PAM -integrierten Module existieren in Ihren Systemen, und Sie sollten mit jedem von ihnen für die ordnungsgemäße Verwendung von Linux PAM vertraut sein:
1. PAM_SUCPEDEPE_IF -Modul
Dieses Modul steuert den Zugriff auf Benutzer und Gruppen. Sie können beispielsweise die Benutzerkonten mit diesem Befehl validieren:
Das vorherige Beispiel bedeutet, dass nur die Benutzer, deren IDs 1000 oder 3000 sind.
Ein weiteres Beispiel ist wie im folgenden Befehl:
Das vorherige Beispiel gibt an, dass nur die Benutzer mit den Benutzer -IDs von oder mehr als 2000 auf den Dienst oder das Programm zugreifen können.
Ein Beispiel für die Verwendung eines Ingroup -Parameters ist wie im Folgenden zu sehen:
2. PAM_DENY -Modul
Das PAM_DDENY -Modul wird üblicherweise zum Ablehnen oder Einschränken eines Zugriffs verwendet. Bei der Verwendung gibt das Modul bei der Verarbeitung ein Nicht-OK-Ergebnis zurück. Die Verwendung dieses Moduls am Ende Ihres Modulstapels schützt eine mögliche Missverständnis. Wenn Sie es zu Beginn eines Modulstacks verwenden, deaktiviert es jedoch Ihren Service, wie in der folgenden Abbildung zu sehen ist:
Interessanterweise können Sie dieses Modul mit dem verwenden Konto, Auth, Passwort, Und Sitzung Managementgruppen.
3. PAM_ACCESS -Modul
Das PAM_ACCESS -Modul ist ein weiteres Modul, das Sie mit allen Verwaltungsgruppen verwenden können. Es funktioniert genauso wie das Modul PAM_SUCPECEPE_IF. Das Modul PAM_SUCPEPET_IF überprüft jedoch die Anmeldedetails nicht von den vernetzten Hosts, während sich das PAM_ACCESS -Modul darauf konzentriert.
Sie können dann die Zugriffsregeln eingeben, wie sie in den folgenden Abbildungen angezeigt werden:
Und
Die Regeln geben an, dass sich nur die Benutzer innerhalb von LinHinttecks anmelden können. Die + und - Zeichen in der Regel erlauben und leugnen jeweils. Dieses Modul ist auch mit allen Verwaltungsgruppen verwendet.
4. PAM_Nologin Modul
Dieses Modul ist selektiv und ermöglicht es dem Stamm nur, sich anzumelden, falls die Datei vorhanden ist. Im Gegensatz zu den vorherigen Modulen, die Sie mit allen Verwaltungsgruppen verwenden können, ist dieses Modul nur mit verwendbar Auth Und Konto Managementgruppen.
5. PAM_CRACKLIB -Modul
Cyberkriminalität steigt und starke Passwörter sind obligatorisch. Dieses Modul legt die Regeln fest, wie stark Ihre Passwörter erhalten können. Im folgenden Beispiel bietet das Modul bis zu 4 Chancen, einen starken Passwortfehler auszuwählen, zu dem es beendet wird. Auch das Modul sieht vor, dass Sie nur ein Passwort von 12 oder mehr Zeichen auswählen können.
6. PAM_LOCALUSER -Modul
Dieses Modul wird häufig verwendet, um zu überprüfen, ob sich ein Benutzer in der /etc /passwd befindet. Sie können dieses Modul mit allen Verwaltungsgruppen einschließlich verwenden Auth, Passwort, Sitzung, Und Konto.
7. PAM_ROOTOK -Modul
Nur die Root -Benutzer können diesen Dienst ausführen, da er überprüft wird, ob die UID 0 beträgt. Somit ist dieses Modul nützlich, wenn ein Dienst nur den Stammnutzern gewidmet ist. Es ist ohne andere Verwaltungsgruppe außer der verwendbar Auth Verwaltungsgruppe.
8. PAM_MYSQL -Modul
Sie können das PAM_MYSQL -Modul verwenden, um die Benutzer zu validieren, anstatt ihre Anmeldeinformationen gegen das /etc /shadow zu überprüfen. Es ist verwendet, die Benutzer mit den PAM_MYSQL -Parametern zu validieren. Sie können es mit dem folgenden Befehl installieren, wenn Sie es nicht in Ihrem System haben. Dies ist ein weiteres Modul, das Sie mit allen Verwaltungsgruppen verwenden können:
9. pam_limits Modul
Wenn Sie die Grenzen Ihrer Systemressourcen festlegen müssen, ist das PAM_LIMITS -Modul das, was Sie benötigen. Dieses Modul betrifft alle, einschließlich der Root -Benutzer, die die Grenzkonfigurationsdatei verwenden, die in/etc/Sicherheit/Grenzen verfügbar sind.D/ Verzeichnis. Es ist vorteilhaft, die Systemressourcen zu schützen und nur in der Nutzung zu nutzen Sitzung Verwaltungsgruppe.
Die Grenzen in/etc/Sicherheit/Grenzen festlegen.Conf -Datei kann entweder hart oder weich sein. Nur die Root -Benutzer können den Grenzwert in harten Grenzen ändern, während die gewöhnlichen Benutzer dies nicht können. Andererseits können sogar gewöhnliche Benutzer auch den Grenzwert ändern.
Auch hier können Grenzen als CPU, FSIZE, Daten, NPROC und vieles mehr klassifiziert werden. Ein gutes Beispiel ist in der folgenden Abbildung dargestellt:
Die erste Grenze für die Mitglieder von LinHintadmins legt die Anzahl der Prozesse für jedes Mitglied auf 30 fest. Andererseits ist die zweite Grenze für die LinHintechs -Mitglieder und legt die CPU -Dauer für sie nach 4000 Minuten fest.
10. PAM_RHOSTS -Modul
Es führt die Standard -Netzwerkauthentifizierung für Dienste und Programme durch. Zu den drei verfügbaren Optionen gehören Debug, Superuser und Still. Es ist nur mit der Auth -Management -Gruppe und den Funktionen im folgenden Beispiel verwendet:
Abschluss
Das bringt uns zum Ende dieses Artikels. Hoffentlich erweisen sich die zehn grundlegenden Linux -PAM -Module als nützlich auf Ihrer Reise, um PAM zu lernen und zu verwenden.