пам

Урок за Linux Pam за сигурност

Урок за Linux Pam за сигурност
PAM означава Pluggable Authentication Modules, който осигурява поддръжка на динамично удостоверяване за приложения и услуги в операционна система Linux. Това е механизъм за сигурност, който позволява защита чрез PAM, вместо да пита потребителско име и парола. PAM е отговорен за удостоверяването на изпълняваните файлове. Всяко приложение се състои от няколко конфигурируеми файла и всяко се състои от стек от няколко модула. След това тези модули се изпълняват отгоре надолу и след това PAM генерира отговор независимо дали е преминал или се провали въз основа на резултата.

PAM улеснява много администраторите и разработчиците, тъй като сам променя файла на изходния код и изисква минимално взаимодействие. Така че PAM може да бъде дефиниран и като обобщен интерфейс за програмиране на приложения за услуги, свързани с удостоверяване. Вместо да преписва кода, той се модифицира сам.

Интерфейси на модула Pam

Авт: Модулът е този, който отговаря за целите на удостоверяването; той проверява паролата.
Сметка: След като потребителят се удостовери с правилни идентификационни данни, секцията на акаунта проверява валидността на акаунта, като изтичане или ограничения за влизане във времето и т.н.
Парола: Използва се само за промяна на паролата.
Сесия: Той управлява сесиите, съдържа акаунт за активността на потребителя, създаване на пощенски кутии, създава домашна директория на потребителя и т.н.

Урок

  1. За да проверите дали вашето приложение използва LINUX-PAM или не, използвайте следната команда във вашия терминал:

    $ ldd / bin / su

    Както виждаме в ред 2 от изхода, съществува lipbpam.така файл, който потвърждава заявката.

  2. Конфигурацията на LINUX-PAM е в директорията / etc / pam.д/. Отворете терминала на вашата операционна система Linux и отидете в директорията pam, като въведете командата: $ cd / etc / pam.д/

    Това е директорията, която съдържа други услуги, които поддържат PAM. Човек може


    проверете съдържанието, като изпълните командата $ ls вътре в директорията на pam, както е показано на горната екранна снимка.

    ако не намерите sshd като услуга, която поддържа PAM, трябва да инсталирате sshd сървъра.

    SSH (или сигурна обвивка) е криптиран мрежов инструмент, предназначен да позволи на различен тип компютри / потребители да влизат сигурно в различни компютри отдалечено през мрежа. Трябва да инсталирате пакета openssh-server, което можете да направите, като изпълните следната команда във вашия терминал.

    $ sudo apt-get install openssh-server

    Той ще инсталира всички файлове и след това можете да въведете отново директорията на pam и да проверите за услугите и да видите как sshd е добавен.

  3. След това въведете следната команда. VIM е текстов редактор, който отваря обикновени текстови документи, за да ги вижда и редактира потребителят. $ vim sshd

    Ако искате да излезете от редактора на vim и не можете да го направите, натиснете клавиша Esc и двоеточие (:) едновременно, което ви поставя в режим на вмъкване. След дебелото черво напишете q и натиснете enter. Тук q означава quit.

    Можете да превъртите надолу и да видите всички модули, които бяха описани по-рано с термини като задължителни, включващи, необходими и т.н. Какви са тези?

    Те се наричат ​​като PAM контролни знамена. Нека да влезем в техните подробности, преди да се потопим в много повече концепции за PAM услугите.

PAM контролни знамена

  1. Задължително: Трябва да преминете, за да постигнете успех. Това е необходимостта, без която човек не може.
  2. Необходими: Трябва да премине в противен случай не се изпълняват допълнителни модули.
  3. Достатъчно: Той се игнорира, ако не успее. Ако този модул бъде предаден, няма да се проверяват допълнителни флагове.
  4. По избор: Често се пренебрегва. Използва се само когато има само един модул в интерфейса.
  5. Включете: Той извлича всички редове от другите файлове.

Сега основното правило за писане на основната конфигурация е, както следва, тип услуга control-flag модул module-argument

  1. ОБСЛУЖВАНЕ: Това е името на приложението. Да предположим, че името на вашето приложение е NUCUTA.
  2. ТИП: Това е видът на използвания модул. Да предположим, че тук използваният модул е ​​модул за удостоверяване.
  3. КОНТРОЛ-ФЛАГ: Това е типът на използвания флаг за управление, един от петте типа, както е описано по-горе.
  4. МОДУЛ: Абсолютното име на файла или относителното име на пътя на PAM.
  5. МОДУЛ-АРГУМЕНТИ: Това е отделният списък с маркери за контрол на поведението на модула.

Да предположим, че искате да деактивирате достъпа на root потребител до всякакъв вид система чрез SSH, трябва да ограничите достъпа до услугата sshd. Освен това услугите за вход трябва да бъдат контролиран достъп.

Има няколко модула, които ограничават достъпа и дават привилегии, но ние можем да използваме модула / lib / security / pam_listfile.така който е изключително гъвкав и има много функционалности и привилегии.

  1. Отворете и редактирайте файла / приложението в редактора на vim за целевата услуга, като влезете в / и т.н. / пам.д/ директория първо.

Следното правило трябва да се добави и към двата файла:

auth задължително pam_listfile.така \ onerr = елемент за успех = потребителски смисъл = отказ на файл = / и т.н. / ssh / отказани потребители

Когато auth е модулът за удостоверяване, задължителен е флагът за управление, файлът pam_list.така че модулът дава привилегиите за отказ на файловете, onerr = success е аргументът на модула, item = user е друг аргумент на модула, който указва списъци с файлове и съдържанието, за което трябва да се провери, sense = deny е друг аргумент на модула, който ако елементът е намерен във файл и файл = / и т.н. / ssh / отказани потребители, който указва тип файл, който съдържа само един елемент на ред.

  1. След това създайте друг файл / и т.н. / ssh / отказани потребители и добавете root като името в него. Това може да стане, като следвате командата: $ sudo vim / etc / ssh / deniusers
  1. След това запазете промените след добавяне на коренно име към него и затворете файла.
  2. Използвайте chmod commond, за да промените режима на достъп до файла. Синтаксисът на командата chmod е
 chmod [справка] [оператор] [режим] файл

Тук препратките се използват за посочване на списък с букви, който указва на кого да се даде разрешение.

Например тук можете да напишете командата:

$ sudo chmod 600 / и т.н. / ssh / отказани потребители

Това работи по простия начин. Посочвате потребителите, на които е отказан достъп до вашия файл във файла / etc / ssh / deniusers и задавате режим на достъп за файла, като използвате командата chmod. Отсега нататък, докато се опитвате да получите достъп до файла поради това правило, PAM ще откаже на всички потребители, изброени във файла / etc / ssh / deniusers, какъвто и да е достъп до файла.

Заключение

PAM осигурява поддръжка за динамично удостоверяване на приложения и услуги в операционна система Linux. Това ръководство посочва редица флагове, които могат да се използват за определяне на резултата от резултата от модула. Това е удобно и надеждно. за потребители от традиционната парола и механизма за удостоверяване на потребителско име и по този начин PAM често се използва в много защитени системи.

Мишка Как да променяте настройките на мишката и тъчпада с помощта на Xinput в Linux
Как да променяте настройките на мишката и тъчпада с помощта на Xinput в Linux
Повечето дистрибуции на Linux се доставят с библиотека “libinput” по подразбиране за обработка на входни събития в системата. Той може да обработва вх...
Мишка Пренастройте бутоните на мишката си по различен начин за различен софтуер с X-Mouse Button Control
Пренастройте бутоните на мишката си по различен начин за различен софтуер с X-Mouse Button Control
Може би се нуждаете от инструмент, който може да промени контрола на мишката с всяко приложение, което използвате. Ако случаят е такъв, можете да изпр...
Мишка Преглед на безжична мишка на Microsoft Sculpt Touch
Преглед на безжична мишка на Microsoft Sculpt Touch
Наскоро прочетох за Microsoft Sculpt Touch безжична мишка и реших да я купя. След като го използвах известно време, реших да споделя опита си с него. ...