Usando el tutorial de Pam on Linux

Salvador Anaya
Usando el tutorial de Pam on Linux
“Pam no es un sistema nuevo. Se remonta a 1997. Los usuarios y administradores del sistema de Linux usan PAM en Linux para la autenticación y otras tareas. Programas como GDM, FTP, Telnet, SSH, IMAP, Iniciar sesión y muchos otros ahora usan Linux-Pam para autenticar a los usuarios.

Al usar PAM, estos programas pueden determinar si un usuario es quién dice ser. Con PAM, los usuarios pueden obtener acceso al proporcionar nombres de usuario y contraseñas almacenadas en protocolos virtuales como Kerberos o LDAP. Los usuarios también pueden proporcionar certificados, tokens o biometría para la autenticación.

Y a diferencia de los protocolos de autenticación típicos, PAM o módulos de autenticación conectables, es una interfaz de programación de aplicaciones (API). Por lo tanto, en lugar de reescribir códigos para cada programa o aplicación para garantizar la compatibilidad de PAM, PAM modifica los códigos de origen convenientemente.

El diagrama a continuación detalla algunos de los programas que puede integrar con PAM y los métodos utilizados."

Tutorial de Linux Pam

Idealmente, PAM proporciona un sistema de inicio de sesión unificado para programas y aplicaciones de Linux. Pero para usar PAM correctamente, este tutorial será útil.

Verifique los sistemas Linux que son compatibles con PAM

El uso de PAM comienza con la verificación si el programa que tiene la intención de usar es PAM-ADAPE. Y puede verificar eso usando este comando;

Alternativamente, puede usar el siguiente comando a continuación para enumerar los programas o servicios de Linux que usan PAM. El comando le permite verificar el contenido del directorio.

Un listado que usa el comando anterior siempre producirá un resultado similar a lo que está en la figura a continuación;

Abrir cualquier archivo de servicio le mostrará que cada archivo tiene tres columnas. La primera columna significa el grupo de administración, la columna central representa los indicadores de control, y la tercera es el módulo utilizado para cada categoría.

En la figura anterior, la "cuenta" representa el grupo de gestión, "requerido" es el indicador de control, mientras que el "pam_nologin.Entonces "es el módulo utilizado. Ocasionalmente puede existir una cuarta columna, y eso representará los parámetros del módulo.

Crear o editar archivos de configuración de PAM para PAM-hilado Servicios o programas

Como servidor de Linux o administrador del sistema, puede enumerar todos los módulos PAM apropiados para implementar la política de acceso para cualquier programa. La lista se conoce como una pila. Deberá invocar cada módulo en la lista en la pila del archivo de configuración para un programa en particular. Por supuesto, esto debería suceder antes de autenticar a cualquier usuario.

Puede cambiar el archivo de configuración configurado para un programa en caso de que falle un módulo determinado. Esta modificación le permitirá implementar políticas más complejas, como autenticar con LDAP primero o probar archivos locales en caso de que falle.

Por ejemplo, HWBrowser está escrito para usar Linux PAM para autenticar usuarios. El /etc /pam.D controla el mismo conjunto de módulos en los archivos de configuración. Puede editar el archivo de configuración del programa para permitirle hacer cumplir las políticas de acceso deseadas.

Este es el aspecto predeterminado del archivo de configuración del programa antes de editar;

Como es evidente anteriormente, el archivo contiene una lista de los DLL para su uso, con algunos que contienen detalles adicionales.

3. Usando Pam para restringir raíz Acceso o admisión a SSH

En particular, Pam también es útil para deshabilitar el acceso de los usuarios raíz a los programas o sistemas a través de SSH y otros programas de inicio de sesión. Puede lograr esto restringiendo el acceso a SSHD y servicios de inicio de sesión.

El/lib/seguridad/pam_listfile.también lo es su módulo preferido, ya que ofrece una inmensa flexibilidad para limitar las capacidades y privilegios de ciertas cuentas. Abra y edite los archivos de destino en /etc /pam.d/ usando cualquiera de los siguientes comandos;

O

Cualquiera que sea el caso, agregue el resultado a continuación a ambos archivos;

Apilamiento con Linux Pam

Finalmente, no querríamos terminar un tutorial de PAM sin discutir el apilamiento, como lo respalda Pam. Este concepto permite que un servicio o programa en particular utilice múltiples mecanismos. Puede crear una pila en el archivo de configuración creando varias entradas para el programa de destino con un archivo de módulo_type similar.

Puede invocar los módulos en el orden en que aparecen en la pila. El campo Control_Flag especifica el resultado final.

En particular, Pam Control_Flags tiene el siguiente comportamiento;

  • requerido: estos módulos deben pasar para producir un resultado exitoso. Otros módulos requeridos en la pila se probarán incluso cuando uno o más en la categoría falle. Sin embargo, el error del primer módulo fallido afectará el resultado.
  • Requisito: esto es similar al módulo requerido. Pero en el caso de la falla de un módulo requisito, el sistema no intentará ningún otro módulos requeridos en la pila para procesar.
  • suficiente: si todos los módulos requeridos anteriormente pasan con éxito y pase un módulo suficiente, los otros módulos no se deben procesar. El sistema ignorará los módulos restantes y devolverá un resultado exitoso.
  • Opcional: un módulo opcional debe tener éxito en caso de que no haya módulos requeridos en la pila y ninguno de los módulos suficientes ha pasado. Pero si hay otro módulo exitoso en la pila, el sistema ignorará cualquier módulo opcional fallido.

Este /etc /pam.conf es un ejemplo de apilamiento típico en PAM para el programa de inicio de sesión en el tipo Auth_Module.

Conclusión

PAM es una API robusta que permite que los servicios y programas en los sistemas de Linux autenticen a los usuarios. Si bien sigue siendo vital para autenticar a los usuarios en un entorno de Linux, comprender y usar Linux PAM puede ser una pesadilla para los técnicos novatos. Este tutorial tenía como objetivo facilitar todo el proceso. Con suerte, ha logrado su objetivo.

Fuentes:

  • https: // www.IBM.com/docs/en/aix/7.2?Topic = Modules-Pam-Configuración-archivo
  • https: // www.tecmenta.com/configure-pam-in-centos-ubuntu-linux/
  • http: // www.Linuxgeek.net/documentación/autenticación.ftml
  • https: // documentos.oráculo.com/cd/E19683-01/816-4883/PAM-32/índice.html.
php
Cómo agregar a una matriz en PHP?
Las matrices son importantes para mantener diferentes tipos de datos en un solo lugar. Siga este art...
Andrés Barrientos
C ++
Diferencia entre privado y protegido en c ++
El especificador de acceso privado limita la visibilidad de los miembros de la clase solo a la clase...
Jacobo Piña
Programación C
Declaración if-else en la programación C
La declaración IF-ELSE es un concepto crucial en la programación C que permite la toma de decisiones...
Hernán Delao
Pitón
Python Oserror
Pilar Alemán
Pitón
Parcela de bar horizontal marina
Lorenzo Morales
Pitón
Convertir cadena para configurar python
José Luis Villagómez
Pitón
Pandas read_csv multiprocesamiento
Pilar Melgar
Base de datos Oracle
¿Es Oracle Database similar a la base de datos mySQL?? | Explicado
Carolina Guzmán
Javascript
Cómo verificar la versión de TypeScript
Salvador Anaya
Potencia Shell
Cómo usar el cmdlet de movimiento de movimiento en PowerShell?
Mariana Cotto
Potencia Shell
¿Cuáles son los pasos para iniciar Windows PowerShell?
Andrés Barrientos
Potencia Shell
Cómo usar el cmdlet de oBject sort en PowerShell
Pilar Melgar
AWS
¿Cuáles son las funciones del paso de AWS y cómo usarlas??
Salvador Anaya