Usando el tutorial de Pam on Linux

Salvador Anaya
Usando el tutorial de Pam on Linux
“Pam no es un sistema nuevo. Se remonta a 1997. Los usuarios y administradores del sistema de Linux usan PAM en Linux para la autenticación y otras tareas. Programas como GDM, FTP, Telnet, SSH, IMAP, Iniciar sesión y muchos otros ahora usan Linux-Pam para autenticar a los usuarios.

Al usar PAM, estos programas pueden determinar si un usuario es quién dice ser. Con PAM, los usuarios pueden obtener acceso al proporcionar nombres de usuario y contraseñas almacenadas en protocolos virtuales como Kerberos o LDAP. Los usuarios también pueden proporcionar certificados, tokens o biometría para la autenticación.

Y a diferencia de los protocolos de autenticación típicos, PAM o módulos de autenticación conectables, es una interfaz de programación de aplicaciones (API). Por lo tanto, en lugar de reescribir códigos para cada programa o aplicación para garantizar la compatibilidad de PAM, PAM modifica los códigos de origen convenientemente.

El diagrama a continuación detalla algunos de los programas que puede integrar con PAM y los métodos utilizados."

Tutorial de Linux Pam

Idealmente, PAM proporciona un sistema de inicio de sesión unificado para programas y aplicaciones de Linux. Pero para usar PAM correctamente, este tutorial será útil.

Verifique los sistemas Linux que son compatibles con PAM

El uso de PAM comienza con la verificación si el programa que tiene la intención de usar es PAM-ADAPE. Y puede verificar eso usando este comando;

Alternativamente, puede usar el siguiente comando a continuación para enumerar los programas o servicios de Linux que usan PAM. El comando le permite verificar el contenido del directorio.

Un listado que usa el comando anterior siempre producirá un resultado similar a lo que está en la figura a continuación;

Abrir cualquier archivo de servicio le mostrará que cada archivo tiene tres columnas. La primera columna significa el grupo de administración, la columna central representa los indicadores de control, y la tercera es el módulo utilizado para cada categoría.

En la figura anterior, la "cuenta" representa el grupo de gestión, "requerido" es el indicador de control, mientras que el "pam_nologin.Entonces "es el módulo utilizado. Ocasionalmente puede existir una cuarta columna, y eso representará los parámetros del módulo.

Crear o editar archivos de configuración de PAM para PAM-hilado Servicios o programas

Como servidor de Linux o administrador del sistema, puede enumerar todos los módulos PAM apropiados para implementar la política de acceso para cualquier programa. La lista se conoce como una pila. Deberá invocar cada módulo en la lista en la pila del archivo de configuración para un programa en particular. Por supuesto, esto debería suceder antes de autenticar a cualquier usuario.

Puede cambiar el archivo de configuración configurado para un programa en caso de que falle un módulo determinado. Esta modificación le permitirá implementar políticas más complejas, como autenticar con LDAP primero o probar archivos locales en caso de que falle.

Por ejemplo, HWBrowser está escrito para usar Linux PAM para autenticar usuarios. El /etc /pam.D controla el mismo conjunto de módulos en los archivos de configuración. Puede editar el archivo de configuración del programa para permitirle hacer cumplir las políticas de acceso deseadas.

Este es el aspecto predeterminado del archivo de configuración del programa antes de editar;

Como es evidente anteriormente, el archivo contiene una lista de los DLL para su uso, con algunos que contienen detalles adicionales.

3. Usando Pam para restringir raíz Acceso o admisión a SSH

En particular, Pam también es útil para deshabilitar el acceso de los usuarios raíz a los programas o sistemas a través de SSH y otros programas de inicio de sesión. Puede lograr esto restringiendo el acceso a SSHD y servicios de inicio de sesión.

El/lib/seguridad/pam_listfile.también lo es su módulo preferido, ya que ofrece una inmensa flexibilidad para limitar las capacidades y privilegios de ciertas cuentas. Abra y edite los archivos de destino en /etc /pam.d/ usando cualquiera de los siguientes comandos;

O

Cualquiera que sea el caso, agregue el resultado a continuación a ambos archivos;

Apilamiento con Linux Pam

Finalmente, no querríamos terminar un tutorial de PAM sin discutir el apilamiento, como lo respalda Pam. Este concepto permite que un servicio o programa en particular utilice múltiples mecanismos. Puede crear una pila en el archivo de configuración creando varias entradas para el programa de destino con un archivo de módulo_type similar.

Puede invocar los módulos en el orden en que aparecen en la pila. El campo Control_Flag especifica el resultado final.

En particular, Pam Control_Flags tiene el siguiente comportamiento;

  • requerido: estos módulos deben pasar para producir un resultado exitoso. Otros módulos requeridos en la pila se probarán incluso cuando uno o más en la categoría falle. Sin embargo, el error del primer módulo fallido afectará el resultado.
  • Requisito: esto es similar al módulo requerido. Pero en el caso de la falla de un módulo requisito, el sistema no intentará ningún otro módulos requeridos en la pila para procesar.
  • suficiente: si todos los módulos requeridos anteriormente pasan con éxito y pase un módulo suficiente, los otros módulos no se deben procesar. El sistema ignorará los módulos restantes y devolverá un resultado exitoso.
  • Opcional: un módulo opcional debe tener éxito en caso de que no haya módulos requeridos en la pila y ninguno de los módulos suficientes ha pasado. Pero si hay otro módulo exitoso en la pila, el sistema ignorará cualquier módulo opcional fallido.

Este /etc /pam.conf es un ejemplo de apilamiento típico en PAM para el programa de inicio de sesión en el tipo Auth_Module.

Conclusión

PAM es una API robusta que permite que los servicios y programas en los sistemas de Linux autenticen a los usuarios. Si bien sigue siendo vital para autenticar a los usuarios en un entorno de Linux, comprender y usar Linux PAM puede ser una pesadilla para los técnicos novatos. Este tutorial tenía como objetivo facilitar todo el proceso. Con suerte, ha logrado su objetivo.

Fuentes:

  • https: // www.IBM.com/docs/en/aix/7.2?Topic = Modules-Pam-Configuración-archivo
  • https: // www.tecmenta.com/configure-pam-in-centos-ubuntu-linux/
  • http: // www.Linuxgeek.net/documentación/autenticación.ftml
  • https: // documentos.oráculo.com/cd/E19683-01/816-4883/PAM-32/índice.html.
golang
¿Qué es una clase y un objeto en Golang??
Go no tiene clases u objetos en el sentido clásico; en su lugar, usa estructuras e interfaces. Este ...
José Luis Villagómez
php
¿Qué es una interfaz en PHP orientado a objetos?
Las interfaces definen un conjunto estándar de acciones que varias clases pueden usar para construir...
Mariana Cotto
c agudo
¿Qué significa??
La asignación de adición o el operador de igualdad de igual (+=) en C# se usa para incrementar el va...
Lorenzo Canales
Estibador
¿Cuál es el propósito de un Docker-Compose?.Archivo YML en Docker?
Beatriz Enríquez
Estibador
¿Cómo se definen los volúmenes en Docker Compose Yaml??
Homero Ontiveros
php
Cómo usar la función array_reverse en PHP
Salvador Anaya
OS de Windows
Cómo encender el escritorio remoto en la PC
Pilar Alemán
AWS
¿Cuál es la diferencia entre AWS Batch y Lambda??
Mayte Mesa
Estibador
¿Cuáles son los pasos para implementar una imagen Nginx usando Docker?
Pilar Melgar
c agudo
Condiciones y si luego declaraciones en C#
Daniela Villaseñor
C ++
Cómo usar expresiones booleanas en C ++
Pilar Melgar
php
Cómo usar la función AddSlashes en PHP
Carolina Guzmán
Comandos de Linux
Cómo generar las teclas SSH en Windows Top 10/Top 10 para acceder a los servidores Linux sin contraseñas
Mayte Mesa