Módulos básicos de Linux PAM

Módulos básicos de Linux PAM
Linux Pam es una poderosa API que viene con varios méritos. Primero, proporciona un esquema de autenticación estándar que se puede usar en varias aplicaciones. También proporciona flexibilidad inmejorable para desarrolladores de aplicaciones y administradores de sistemas por igual. Finalmente, Linux PAM permite el desarrollo de programas sin crear necesariamente sus respectivos protocolos de autenticación.

Como cualquier protocolo de autenticación típico, el uso de PAM se basa en comprender una variedad de conceptos. Los componentes PAM que debe internalizar y dominar incluyen los grupos de control y las banderas de control.

En particular, Linux PAM tiene cuatro grupos de administración que cada usuario debe saber. Incluyen:

  • Grupo de autores - Ayudan a validar a los usuarios. Verifican el nombre de usuario, la contraseña y otros detalles de autenticación.
  • Grupo de cuentas - Controlan el acceso a un servicio o programa, como la cantidad de veces que debe acceder o usar un servicio. También controlan las otras condiciones, como el vencimiento de la cuenta y el tiempo.
  • Grupo de sesiones - Este grupo asume la responsabilidad del entorno de servicio, particularmente al comenzar y poner fin a una sesión.
  • Grupo de contraseñas - Este grupo es útil al actualizar las contraseñas.

Para las banderas de control, encontrará las banderas de control requeridas, requeridas, suficientes y opcionales. Como su nombre indica, los indicadores de control controlan el acceso a los programas basados ​​en el comportamiento de cada tipo de indicador de control.

Además de los dos componentes, otro componente PAM significativo que debe considerar son los módulos PAM, y esto es lo que manejará este artículo. Este artículo definirá los diversos módulos PAM y proporcionará ilustraciones o ejemplos viables.

Pero antes de mirar los módulos, veamos el orden de los módulos PAM.

Orden de módulos

El orden de los módulos PAM es vital ya que cada módulo depende del papel anterior en la pila. Por lo tanto, una configuración como en la siguiente captura de pantalla le permitirá iniciar sesión fácilmente:

Sin embargo, el pedido en la siguiente captura de pantalla es incorrecta y no le permitirá un acceso:

Top 10 módulos básicos de PAM

Los siguientes módulos incorporados de PAM existen en sus sistemas, y debe estar familiarizado con cada uno de ellos para el uso adecuado de Linux PAM:

1. módulo PAM_SUCCEDE_IF
Este módulo controla el acceso a usuarios y grupos. Por ejemplo, puede validar las cuentas de usuario utilizando este comando:

El ejemplo anterior significa que solo los usuarios cuyas ID son 1000 o 3000 pueden iniciar sesión.

Otro ejemplo es como en el siguiente comando:

El ejemplo anterior especifica que solo los usuarios con las ID de usuario iguales o mayores de 2000 pueden acceder al servicio o programa.

Un ejemplo de uso de un parámetro Incoup se ve en lo siguiente:

2. módulo pam_deny

El módulo pam_deny se usa comúnmente para negar o restringir un acceso. Cuando se usa, el módulo devolverá un resultado no OK al procesar. El uso de este módulo al final de la pila de su módulo protege cualquier posible configuración errónea. Sin embargo, usarlo al comienzo de una pila de módulos deshabilitará su servicio, como se ve en la siguiente figura:

Curiosamente, puede usar este módulo con el cuenta, autenticación, contraseña, y sesión grupos de gestión.

3. módulo pam_access
El módulo PAM_ACCESS es otro módulo que puede usar con todos los grupos de gestión. Funciona de la misma manera que el módulo PAM_SUCCEED_IF. Sin embargo, el módulo PAM_SUCCEDE_IF no verifica los detalles de inicio de sesión de los hosts en red, mientras que el módulo PAM_ACCESS se enfoca en eso.

Luego puede escribir las reglas de acceso como se ve en las siguientes cifras:

Y

Las reglas indican que solo los usuarios dentro de Linhinttecks ​​pueden iniciar sesión. Los signos + y - en la regla permiten y negarán, respectivamente. Este módulo también es utilizable con todos los grupos de gestión.

4. módulo pam_nologin
Este módulo es selectivo y solo permite que la raíz inicie sesión si el archivo existe. A diferencia de los módulos anteriores, que puede usar con todos los grupos de gestión, este módulo solo es utilizable con auténtico y cuenta grupos de gestión.

5. módulo pam_cracklib
El delito cibernético está en aumento, y las contraseñas seguras son obligatorias. Este módulo establece las reglas de qué tan sólidos pueden ser sus contraseñas. En el siguiente ejemplo, el módulo le proporciona hasta 4 oportunidades para elegir una falla de contraseña segura al que saldrá. Nuevamente, el módulo proporciona que solo puede elegir una contraseña de 12 o más caracteres.

6. módulo pam_localuser
Este módulo se usa a menudo para verificar si un usuario está en /etc /passwd. Puede usar este módulo con todos los grupos de gestión, incluidos Auth, contraseña, sesión, y cuenta.

7. módulo pam_rootok
Solo los usuarios raíz pueden ejecutar este servicio ya que verifica si el UID es 0. Por lo tanto, este módulo es útil cuando un servicio está dedicado solo a los usuarios raíz. No se puede usar sin otro grupo de gestión excepto el auténtico grupo de gestión.

8. módulo pam_mysql
Puede usar el módulo pam_mysql para validar a los usuarios en lugar de verificar sus credenciales contra el /etc /sombra. Es utilizable para validar a los usuarios con los parámetros PAM_MYSQL. Puede instalarlo usando el siguiente comando si no lo tiene en su sistema. Este es otro módulo que puede usar con todos los grupos de gestión:

9. módulo pam_limits
Si necesita establecer los límites en los recursos de su sistema, el módulo PAM_LIMITS es lo que necesita. Este módulo afecta a todos, incluidos los usuarios raíz que utilizan el archivo de configuración de límites disponibles en/etc/seguridad/límites.D/ Directorio. Es beneficioso para proteger los recursos del sistema y solo es utilizable en el sesión grupo de gestión.

Los límites establecidos en los límites/etc/seguridad/.El archivo conf puede ser duro o suave. Solo los usuarios de la raíz pueden cambiar el valor límite en límites duros, mientras que los usuarios ordinarios no pueden. Por otro lado, incluso los usuarios comunes también pueden cambiar el valor límite.

Nuevamente, los límites se pueden clasificar como CPU, FSIZE, DATA, NPROC y muchos más. Se muestra un buen ejemplo en la siguiente figura:

El primer límite para los miembros de Linhintadmins establece el número de procesos para cada miembro a los 30. Por otro lado, el segundo límite es para los miembros de Linhintechs y establece la duración de la CPU para ellos a los 4000 minutos.

10. módulo pam_rhosts
Realiza la autenticación de red estándar para servicios y programas a menudo implementados tradicionalmente en RSH y Rlogin, entre otros. Las tres opciones disponibles incluyen Debug, Superuser y Silent. Solo es utilizable con el grupo de administración de autores y las características en el siguiente ejemplo:

Conclusión

Eso nos lleva al final de este artículo. Con suerte, los diez módulos básicos de Linux PAM demostrarán ser útiles en su viaje para aprender y usar PAM.