Das wichtigste, was ein Systemadministrator zu verstehen ist, ist, wie PAM -Konfigurationsdateien den Zusammenhang zwischen Diensten und PAMs bereitstellen, die die tatsächlichen Authentifizierungsaktivitäten ausführen. Sie müssen Pams innere Funktionsweise nicht verstehen. PAM könnte die Sicherheit Ihres Linux -Systems erheblich verändern. Falsche Einstellungen können den Zugriff auf Ihre Maschine vollständig oder teilweise verbieten.
Schnittstellen von Linux-PAM in Ubuntu 20.04
Vier verschiedene Verwaltungsgruppen erledigen die PAM -Authentifizierungsaufgaben getrennt. Wenn ein typischer Benutzer einen eingeschränkten Dienst anfordert, verarbeiten diese Gruppen verschiedene Teile der Anfrage:
So validieren Sie ein Linux-PAM-Programm in Ubuntu 20.04
Eine Anwendung oder ein Programm muss „Pam bewusst“ oder ausdrücklich aufgebaut und zusammengestellt werden, um PAM zu verwenden. Verwenden Sie den Befehl „LDD“, um festzustellen, ob ein Programm mit der PAM-Bibliothek erstellt wurde, um festzustellen, ob es sich um „Pam-Award“ handelt oder nicht. Wenn der Befehl "ldd /bin /su" ausgeführt wird, ist die Datei "libpam.Also “wird in der zweiten Zeile hervorgehoben, die die Abfrage unterstützt. Die Validierung ist im folgenden Screenshot angezeigt:
Das Verzeichnis /etc /pam.D/ enthält die Konfiguration für Linux-PAM. Gehen Sie zum PAM -Verzeichnis, indem Sie den folgenden Befehl in das Terminal Ihres Linux -Betriebssystems eingeben:
Der vorherige Snapshot zeigt, dass man den Inhalt untersuchen kann, indem man den Befehl „LS“ im PAM -Verzeichnis eingibt. Der SSHD -Server muss installiert werden, wenn er nicht als Dienst aufgeführt ist, der PAM implementiert. SSH, auch als Secure Shell bekannt, ist eine Netzwerkanwendung, die die Datenübertragung verschlüsselt und verschiedene Computertypen und Benutzer ermöglicht, sich sicher und aus der Ferne über ein Netzwerk mit verschiedenen Systemen zu verbinden. Der folgende Befehl erfasst das OpenSSH-Server-Paket:
Sie können dann das PAM-Verzeichnis erneut eingeben, nach den Diensten suchen und sehen, dass das SSHD hinzugefügt wurde, nachdem die Installation aller Dateien fertiggestellt wurde. Der SSHD -Service wird in „/etc/pam.d ”Verzeichnis.
So konfigurieren Sie ein Linux-PAM-Programm in Ubuntu 20.04
Der Anruf jedes PAM -Moduls führt zu Erfolg oder Misserfolg. Das Ergebnis wird von PAM unter Verwendung von Steuerflags behandelt. Die Kontrollflags geben die relative Bedeutung des Erfolgs oder Versagens jedes Moduls für das Gesamtziel an, die Identität des Benutzers mit dem Dienst festzustellen, und Module können in einer bestimmten Reihenfolge gestapelt werden. Es sind vier vorkonfigurierte Steuerflags verfügbar:
Geben Sie einfach den folgenden Befehl in das PAM -Verzeichnis ein:
Wie Sie sehen können, haben wir den Begriff der Steuerflagge, den wir früher in der folgenden PAM-Datei beschrieben haben:
Die folgende allgemeine Richtlinie sollte beim Schreiben der Hauptkonfiguration verwendet werden:
Wenn Sie Root -Benutzer daran hindern möchten, eine Verbindung zu einem System über SSH herzustellen, müssen Sie den Zugriff auf den SSHD -Dienst einschränken. Darüber hinaus ist der Zugriff auf die Anmeldedienste eingeschränkt zu werden.
Mehrere Module beschränken Zugriffs- und Gewährungsberechtigungen, aber wir können das unglaublich anpassbare und featurereiche Modul/lib/Security/PAM Listfile verwenden.So. Gehen Sie zum /etc /pam.D/ Verzeichnis, öffnen Sie die Datei des Zieldienstes und nehmen Sie die erforderlichen Änderungen wie folgt vor:
Die folgende Verordnung muss in die Datei eingefügt werden:
Zuvor ist der Modultyp Auth (oder Kontext). Das Kontrollflag zeigt an, dass trotz der Funktionsweise der anderen Module, wenn das Modul verwendet wird, erfolgreich sein muss oder das Gesamtergebnis ein Fehler sein wird. Ein Mittel, um Dienste basierend auf einer Datei zu aktivieren oder zu verweigern, wird von der PAM -Listfile bereitgestellt.Also Modul. Onerr = Erfolg ist ein Argument für das Modul. Das Element = Benutzer ist ein Modulargument, das den Inhalt der Datei beschreibt, der überprüft werden muss. Die Option "Sense = Deny Modul verweigern. Andernfalls wird die entgegengesetzte Vorgehensweise angefordert. Die Datei mit einem Element pro Zeile wird durch die Moduloptionsdatei =/etc/ssh/DeniedUsers angegeben.
Der Name Root muss der Datei/etc/ssh/deniedusers nach dem Erstellen hinzugefügt werden:
Speichern Sie nach den erforderlichen Berechtigungen die Änderungen und schließen Sie die Datei:
Mit der vorangegangenen Regel wird PAM angewiesen, die/etc/ssh/deniedusers zu überprüfen und alle aufgelisteten Benutzer daran zu hindern.
Abschluss
Programme, die von der Authentifizierung abhängen, können sicherstellen, dass sich nur autorisierte Anwendungen in einem Linux-Betriebssystem befinden. Es hat viel Macht, aber es ist auch ziemlich schwer zu verstehen und zu arbeiten. Für Anwendungen und Dienste, die unter Linux ausgeführt werden, bietet PAM dynamische Authentifizierungsunterstützung. Die Leistung eines Moduls kann mit einem der in diesem Handbuch aufgeführten Steuerflags bewertet werden. PAM wird häufig in vielen sicheren Systemen verwendet.