Linux Pam Tutorial

Hussein Burkhard
Linux Pam Tutorial
Linux-PAM ist eine umfassende Sammlung gemeinsamer Module, die einen Benutzer zu Programmen (oder Diensten) in einem Linux-System interaktiv authentifizieren. Linux-PAM ist ein Akronym für steckbare Authentifizierungsmodule, das sich aus dem Unix-PAM-Design entwickelt hat. Es kombiniert zahlreiche Authentifizierungsmodule auf niedriger Ebene mit einer API auf hoher Ebene, um eine dynamische Authentifizierung für Apps bereitzustellen. Trotz des zugrunde liegenden Authentifizierungsschemas können Entwickler Anwendungen erstellen, die eine Authentifizierung erfordern. Linux-PAM (auch als „PAM“ bekannt) wird häufig standardmäßig in zeitgenössischen Linux-Varianten unterstützt.

Das wichtigste, was ein Systemadministrator zu verstehen ist, ist, wie PAM -Konfigurationsdateien den Zusammenhang zwischen Diensten und PAMs bereitstellen, die die tatsächlichen Authentifizierungsaktivitäten ausführen. Sie müssen Pams innere Funktionsweise nicht verstehen. PAM könnte die Sicherheit Ihres Linux -Systems erheblich verändern. Falsche Einstellungen können den Zugriff auf Ihre Maschine vollständig oder teilweise verbieten.

Schnittstellen von Linux-PAM in Ubuntu 20.04

Vier verschiedene Verwaltungsgruppen erledigen die PAM -Authentifizierungsaufgaben getrennt. Wenn ein typischer Benutzer einen eingeschränkten Dienst anfordert, verarbeiten diese Gruppen verschiedene Teile der Anfrage:

  • Konto: Dieses Modul wird verwendet, um festzustellen, ob das angegebene Konto unter den aktuellen Umständen gültig ist. In dieser Kategorie werden verschiedene Faktoren überprüft, einschließlich des Ablaufs des Kontos, der Tageszeit oder wenn der Benutzer die Genehmigung für den entsprechenden Dienst hat.
  • Authentifizierung: In diesem Modul wird die Identität des Benutzers validiert, sobald alle grundlegenden Informationen als genau überprüft wurden. Die Identität des Benutzers wird überprüft, indem er es ihnen ermöglicht, eine Anmeldung oder eine andere bestimmte Daten bereitzustellen, die nur sie wissen müssen.
  • Passwort: Das Authentifizierungsmodul soll in Zusammenarbeit mit diesem Modul arbeiten, das den Benutzer bei der Aktualisierung von Kennwörtern unterstützt. Beide Resonanzen bieten die Möglichkeit, sichere Passwörter durchzusetzen.
  • Sitzung: Dieses Modul beschreibt die Aktivitäten, die zu Beginn und am Ende der Sitzungen durchgeführt werden müssen, und es ist nicht die am wenigsten wichtige Module, die die Reihenfolge ausmachen, nach der die Gesamtstrategie der PAM die gewünschte Aufgabe abgeschlossen wird. Die Sitzung beginnt, wenn sich die Person erfolgreich authentifiziert hat.

So validieren Sie ein Linux-PAM-Programm in Ubuntu 20.04

Eine Anwendung oder ein Programm muss „Pam bewusst“ oder ausdrücklich aufgebaut und zusammengestellt werden, um PAM zu verwenden. Verwenden Sie den Befehl „LDD“, um festzustellen, ob ein Programm mit der PAM-Bibliothek erstellt wurde, um festzustellen, ob es sich um „Pam-Award“ handelt oder nicht. Wenn der Befehl "ldd /bin /su" ausgeführt wird, ist die Datei "libpam.Also “wird in der zweiten Zeile hervorgehoben, die die Abfrage unterstützt. Die Validierung ist im folgenden Screenshot angezeigt:

Das Verzeichnis /etc /pam.D/ enthält die Konfiguration für Linux-PAM. Gehen Sie zum PAM -Verzeichnis, indem Sie den folgenden Befehl in das Terminal Ihres Linux -Betriebssystems eingeben:

Der vorherige Snapshot zeigt, dass man den Inhalt untersuchen kann, indem man den Befehl „LS“ im PAM -Verzeichnis eingibt. Der SSHD -Server muss installiert werden, wenn er nicht als Dienst aufgeführt ist, der PAM implementiert. SSH, auch als Secure Shell bekannt, ist eine Netzwerkanwendung, die die Datenübertragung verschlüsselt und verschiedene Computertypen und Benutzer ermöglicht, sich sicher und aus der Ferne über ein Netzwerk mit verschiedenen Systemen zu verbinden. Der folgende Befehl erfasst das OpenSSH-Server-Paket:

Sie können dann das PAM-Verzeichnis erneut eingeben, nach den Diensten suchen und sehen, dass das SSHD hinzugefügt wurde, nachdem die Installation aller Dateien fertiggestellt wurde. Der SSHD -Service wird in „/etc/pam.d ”Verzeichnis.

So konfigurieren Sie ein Linux-PAM-Programm in Ubuntu 20.04

Der Anruf jedes PAM -Moduls führt zu Erfolg oder Misserfolg. Das Ergebnis wird von PAM unter Verwendung von Steuerflags behandelt. Die Kontrollflags geben die relative Bedeutung des Erfolgs oder Versagens jedes Moduls für das Gesamtziel an, die Identität des Benutzers mit dem Dienst festzustellen, und Module können in einer bestimmten Reihenfolge gestapelt werden. Es sind vier vorkonfigurierte Steuerflags verfügbar:

  • Erforderlich: Damit die Authentifizierung voranschreitet, muss die Paketantwort erfolgreich sein. Der Benutzer wird nicht alarmiert, wenn der Versuch in diesem Stadium fehlschlägt, bis alle Paketstests seine Verwendung durch diese Schnittstelle ausgeführt haben.
  • erforderlich: Nach den Argumenten wird alles andere auch alles andere auch. PAM wird ebenfalls gekündigt und eine Fehlermeldung wird geliefert.
  • ausreichend: Wenn dieses Modul erfolgreich ist und alle früheren Module auch erfolgreich sind, werden keine weiteren erforderlichen Module aufgerufen.
  • Optional: Zeigt an, dass das Modul nicht wichtig ist, ob die Serviceanforderung des Benutzers erfolgreich oder erfolglos ist. Sein Wert wird nur ohne schlüssige Erfolge oder Fehler früher oder später gestapelter Module berücksichtigt.
  • Gehen Sie zu: Wenn der Übereinstimmungsparameter übereinstimmt, wird jede Zeile in der Konfigurationsdatei durch dieses Steuerflag abgerufen.

Geben Sie einfach den folgenden Befehl in das PAM -Verzeichnis ein:

Wie Sie sehen können, haben wir den Begriff der Steuerflagge, den wir früher in der folgenden PAM-Datei beschrieben haben:

Die folgende allgemeine Richtlinie sollte beim Schreiben der Hauptkonfiguration verwendet werden:

  • Service: Der richtige Name des Programms
  • Typ: Schnittstelle/Kontext/Modulart
  • Kontrollflag: Wenn das Modul seine Authentifizierungsaufgabe nicht erledigt, bestimmt das Steuerflag, wie sich der PAM-API verhalten wird
  • Modul: Der absolute oder relative Pathname -Dateiname des Pams des Pams
  • Modulargument: Modulparameter sind eine Liste von Token, die verwendet werden können, um die Modulfunktionalität zu beeinflussen

Wenn Sie Root -Benutzer daran hindern möchten, eine Verbindung zu einem System über SSH herzustellen, müssen Sie den Zugriff auf den SSHD -Dienst einschränken. Darüber hinaus ist der Zugriff auf die Anmeldedienste eingeschränkt zu werden.

Mehrere Module beschränken Zugriffs- und Gewährungsberechtigungen, aber wir können das unglaublich anpassbare und featurereiche Modul/lib/Security/PAM Listfile verwenden.So. Gehen Sie zum /etc /pam.D/ Verzeichnis, öffnen Sie die Datei des Zieldienstes und nehmen Sie die erforderlichen Änderungen wie folgt vor:

Die folgende Verordnung muss in die Datei eingefügt werden:

Zuvor ist der Modultyp Auth (oder Kontext). Das Kontrollflag zeigt an, dass trotz der Funktionsweise der anderen Module, wenn das Modul verwendet wird, erfolgreich sein muss oder das Gesamtergebnis ein Fehler sein wird. Ein Mittel, um Dienste basierend auf einer Datei zu aktivieren oder zu verweigern, wird von der PAM -Listfile bereitgestellt.Also Modul. Onerr = Erfolg ist ein Argument für das Modul. Das Element = Benutzer ist ein Modulargument, das den Inhalt der Datei beschreibt, der überprüft werden muss. Die Option "Sense = Deny Modul verweigern. Andernfalls wird die entgegengesetzte Vorgehensweise angefordert. Die Datei mit einem Element pro Zeile wird durch die Moduloptionsdatei =/etc/ssh/DeniedUsers angegeben.

Der Name Root muss der Datei/etc/ssh/deniedusers nach dem Erstellen hinzugefügt werden:

Speichern Sie nach den erforderlichen Berechtigungen die Änderungen und schließen Sie die Datei:

Mit der vorangegangenen Regel wird PAM angewiesen, die/etc/ssh/deniedusers zu überprüfen und alle aufgelisteten Benutzer daran zu hindern.

Abschluss

Programme, die von der Authentifizierung abhängen, können sicherstellen, dass sich nur autorisierte Anwendungen in einem Linux-Betriebssystem befinden. Es hat viel Macht, aber es ist auch ziemlich schwer zu verstehen und zu arbeiten. Für Anwendungen und Dienste, die unter Linux ausgeführt werden, bietet PAM dynamische Authentifizierungsunterstützung. Die Leistung eines Moduls kann mit einem der in diesem Handbuch aufgeführten Steuerflags bewertet werden. PAM wird häufig in vielen sicheren Systemen verwendet.

c scharf
Was sind Fluchtsequenzen in C#
Escape -Sequenz in C# ist eine Folge von Zeichen, die eine besondere Bedeutung darstellt, wenn sie i...
Frederik Rodehau
c scharf
Was ist der Unterschied zwischen int und doppelt in C#
Ganzzahlen (int) sind ganze Zahlen, was bedeutet, dass sie keine Dezimalpunkte haben. Doppel (doppel...
Prof. Dr. Julien Plank
C ++
Was ist += in C++?
In C ++ ist das+= eine Kombination von zwei Operatoren, einer ist der Additionsoperator und der zwei...
Christopher Lammert
Oracle Linux
So installieren und verwenden Sie das Oracle VirtualBox -Erweiterungspaket?
Ansgar Radtke
Python
Konvertieren Sie die Zeichenfolge, um Python zu setzen
Ahmed Stöckert
Python
Wie überprüfe ich, ob eine Zeichenfolge in Python leer ist
Frederik Rodehau
Windows OS
Was ist der Unterschied zwischen Windows Top 10 Home und Pro
Kaya Wyludda
Golang
Wie man Zeit nutzt.Funktionieren Sie nun in Golang - Beispiele
Mohamed Flore
Oracle -Datenbank
Welche Art von Datenbank ist Oracle Top 10g?
Gian Eisenlauer
Power Shell
Was ist umbenannte Befehl in PowerShell umbenannt?
Stephan Harms
C ++
Unterschied zwischen privat und geschützt in C ++
Stephan Harms
C ++
So deklarieren Sie Variablen in C++?
Gian Eisenlauer
Sqlite
Was sind SQLite und SQLite3? Sind sie gleich?
Fr. Chris Frisch