pam

Linux Pami turvalisuse õpetus

Linux Pami turvalisuse õpetus
PAM tähendab Pluggable Authentication Modules, mis pakub dünaamilist autentimistuge rakenduste ja teenuste jaoks Linuxi operatsioonisüsteemis. See on turvamehhanism, mis võimaldab kasutajanime ja parooli küsimise asemel kaitsta PAM-i kaudu. PAM vastutab käitatavate failide autentimise eest. Iga rakendus koosneb mitmest seadistatavast failist ja igaüks koosneb mitmest moodulist. Seejärel käivitatakse need moodulid ülevalt alla ja seejärel genereerib PAM tulemuse põhjal vastuse, kas see on edukas või ebaõnnestunud.

PAM muudab selle administraatorite ja arendajate jaoks palju lihtsamaks, kuna see muudab iseseisvalt lähtekoodifaili ja nõuab minimaalset suhtlemist. Niisiis, PAM-i saab määratleda ka üldise rakendusprogrammeerimisliidesena autentimisega seotud teenuste jaoks. Koodi uuesti kirjutamise asemel muudetakse seda iseseisvalt.

Pam mooduli liidesed

Auth: Autentimise eesmärgil vastutab moodul; see kontrollib parooli.
Konto: Kui kasutaja on õigete mandaatidega autentinud, kontrollib konto jaotis konto kehtivust, näiteks aegumiskuupäeva või sisselogimisaja piiranguid jne.
Parool: Seda kasutatakse ainult parooli muutmiseks.
Seanss: See haldab seansse, sisaldab konto kasutaja tegevusest, postkastide loomisest, loob kasutaja kodukataloogi jne.

Õpetus

  1. Kontrollimaks, kas teie rakendus kasutab LINUX-PAM-i või ei kasuta terminalis järgmist käsku:

    $ ldd / bin / su

    Nagu näeme väljundi 2. real, on olemas lipbpam.nii fail, mis kinnitab päringu.

  2. LINUX-PAMi konfiguratsioon on kataloogis / etc / pam.d /. Avage oma Linuxi operatsioonisüsteemi terminal ja minge pam-kataloogi, tippides käsu: $ cd / etc / pam.d /

    See on kataloog, mis sisaldab muid PAM-i toetavaid teenuseid. Üks saab


    kontrollige sisu, käivitades pam kataloogis käsu $ ls, nagu on näidatud ülaltoodud ekraanipildil.

    kui te ei leia sshd teenust, mis toetab PAM-i, peate installima sshd-serveri.

    SSH (või turvaline kest) on krüpteeritud võrgutööriist, mis on loodud võimaldama erinevat tüüpi arvutitel / kasutajatel turvaliselt võrgu kaudu erinevatesse arvutitesse sisse logida. Peate installima openssh-serveri paketi, mida saate teha, käivitades oma terminalis järgmise käsu.

    $ sudo apt-get install openssh-server

    See installib kõik failid ja siis saate uuesti sisestada pam-kataloogi ja kontrollida teenuseid ning näha, et sshd on lisatud.

  3. Seejärel tippige järgmine käsk. VIM on tekstiredaktor, mis avab lihttekstidokumendid, et kasutaja saaks neid näha ja redigeerida. $ vim sshd

    Kui soovite vimiredaktorist väljuda ja ei saa seda teha, vajutage samal ajal klahvi Esc ja koolonit (:), mis viib teid sisestusrežiimi. Pärast koolonit tippige q ja vajutage sisestusklahvi. Siin q tähistab quit.

    Võite kerida allapoole ja vaadata kõiki mooduleid, mida varem kirjeldati terminitega nagu nõutav, sisaldama, vajalik jne. Mis need on?

    Neid nimetatakse PAM-i kontrolllippudeks. Süvenege nende üksikasjadesse, enne kui sukeldume palju muudesse PAM-teenuste kontseptsioonidesse.

PAMi kontrolllipud

  1. Nõutud: Tuleb edu saavutamiseks läbida. See on vajadus, millest ilma ei saa.
  2. Nõutav: Peab läbima, muidu ei käivitata enam ühtegi moodulit.
  3. Piisav: Ebaõnnestumisel ignoreeritakse seda. Selle mooduli läbimisel ei kontrollita enam ühtegi lippu.
  4. Valikuline: Seda ignoreeritakse sageli. Seda kasutatakse ainult siis, kui liideses on ainult üks moodul.
  5. Kaasa: See tõmbab kõik read teistest failidest.

Nüüd on põhikonfiguratsiooni kirjutamise üldreegel järgmine: teenuse tüüp control-flag mooduli mooduli argumendid

  1. TEENUS: See on rakenduse nimi. Oletame, et teie rakenduse nimi on NUCUTA.
  2. TÜÜP: Seda tüüpi moodulit kasutatakse. Oletame, et siin on kasutatud moodul autentimismoodul.
  3. JUHTLIPP: Seda tüüpi juhtlippu kasutatakse, üks viiest tüübist, nagu eespool kirjeldatud.
  4. Moodul: PAM-i absoluutne failinimi või suhteline teenimi.
  5. MOODUL-ARGUMENDID: See on moodulite käitumise juhtimise eraldi loend.

Oletame, et soovite keelata juurkasutaja juurdepääsu mis tahes süsteemidele SSH kaudu, peate piirama juurdepääsu SSD-teenusele. Lisaks tuleb sisselogimisteenustele kontrollida juurdepääsu.

On mitmeid mooduleid, mis piiravad juurdepääsu ja annavad privileege, kuid saame moodulit kasutada / lib / security / pam_listfile.nii mis on äärmiselt paindlik ning millel on palju funktsioone ja privileege.

  1. Avage ja muutke sihtteenuse vimiredaktoris faili / rakendust, sisestades / etc / pam.d / kõigepealt kataloog.

Mõlemasse faili tuleb lisada järgmine reegel:

Autent nõuab pam_listfile.nii \ onerr = õnnestus üksus = kasutaja sense = keelake fail = / etc / ssh / deniedusers

Kui auth on autentimismoodul, on vajalik juhtlipp pam_listfile.nii et moodul annab failidele õigused keelata, onerr = õnnestub on mooduli argument, element = kasutaja on veel üks mooduli argument, mis määrab failide loendid ja sisu, mida tuleb kontrollida, sense = keelata on veel üks mooduli argument, mis juhul, kui element on leitud failist ja fail = / etc / ssh / deniedusers, mis määrab failitüübi, mis sisaldab ainult ühte üksust real.

  1. Järgmisena looge teine ​​fail / etc / ssh / deniedusers ja lisage selles nimeks juur. Seda saab teha järgmise käsu abil: $ sudo vim / etc / ssh / deniedusers
  1. Seejärel salvestage muudatused pärast juurnime lisamist ja sulgege fail.
  2. Faili juurdepääsurežiimi muutmiseks kasutage chmod commond. Käsu chmod süntaks on
 fail chmod [viide] [operaator] [režiim]

Siin kasutatakse viiteid tähtede loendi täpsustamiseks, mis näitab, kellele luba anda.

Näiteks siin saate kirjutada käsu:

$ sudo chmod 600 / etc / ssh / deniedusers

See töötab lihtsal viisil. Määrate kasutajad, kellel on juurdepääs teie failile failis / etc / ssh / deniedusers, ja määrate failile juurdepääsu režiimi käsuga chmod. Selle reegli tõttu failile juurdepääsu proovides keelab PAM nüüd kõigil failis / etc / ssh / deniedusers loetletud kasutajatel juurdepääsu failile.

Järeldus

PAM pakub dünaamilist autentimistuge rakenduste ja teenuste jaoks Linuxi operatsioonisüsteemis. Selles juhendis on toodud mitu lippu, mida saab kasutada mooduli tulemuse tulemuse määramiseks. See on mugav ja usaldusväärne. kasutajatele kui traditsiooniline parool ja kasutajanime autentimise mehhanism ning seega kasutatakse PAM-i sageli paljudes turvatud süsteemides.

Mängud Tasuta ja avatud lähtekoodiga mängumootorid Linuxi mängude arendamiseks
Tasuta ja avatud lähtekoodiga mängumootorid Linuxi mängude arendamiseks
See artikkel hõlmab loetelu tasuta ja avatud lähtekoodiga mängumootoritest, mida saab kasutada 2D- ja 3D-mängude arendamiseks Linuxis. Selliseid mängu...
Mängud Tomb Raider for Linuxi õpetus
Tomb Raider for Linuxi õpetus
Shadow of the Tomb Raider on kaheteistkümnes täiendus seeria Tomb Raider - tegevus- ja seiklusmängude frantsiisile, mille on loonud Eidos Montreal. Ni...
Mängud Kuidas FPS-i suurendada Linuxis?
Kuidas FPS-i suurendada Linuxis?
FPS tähistab Kaadrit sekundis. FPS-i ülesanne on mõõta kaadrisagedust video taasesitamisel või mängude esitamisel. Lihtsamalt öeldes nimetatakse iga s...