pam

Linux Pam oktatóanyag a biztonságról

Linux Pam oktatóanyag a biztonságról
A PAM a Pluggable Authentication Modules (Pluggable Authentication Modules) rövidítés, amely dinamikus hitelesítési támogatást nyújt az alkalmazások és szolgáltatások számára Linux operációs rendszerben. Ez egy olyan biztonsági mechanizmus, amely a felhasználónév és jelszó megadása helyett a PAM-on keresztül védelmet nyújt. A PAM felelős a futtatott fájlok hitelesítéséért. Minden alkalmazás több konfigurálható fájlból áll, és mindegyik több modul halmazából áll. Ezeket a modulokat ezután felülről lefelé futtatják, majd a PAM az eredmény alapján generálja a választ arra, hogy sikeres-e vagy sem.

A PAM sokkal könnyebbé teszi az adminisztrátorok és a fejlesztők számára, mivel önmagában változtatja meg a forráskód fájlt, és minimális interakciót igényel. Tehát a PAM definiálható a hitelesítéssel kapcsolatos szolgáltatások általános alkalmazásprogramozási felületeként is. A kód újraírása helyett önmagában módosul.

Pam modul interfészek

Auth: Ez a modul felel a hitelesítési célokért; ellenőrzi a jelszót.
Számla: Miután a felhasználó hitelesítette a megfelelő hitelesítő adatokat, a fiók szakasz ellenőrzi a fiók érvényességét, például lejárati vagy időbejelentési korlátokat stb.
Jelszó: Csak a jelszó megváltoztatására szolgál.
Ülés: Kezeli a munkameneteket, tartalmazza a felhasználói tevékenységet, a postaládák létrehozását, létrehozza a felhasználó saját könyvtárát stb.

Bemutató

  1. Annak ellenőrzése, hogy az alkalmazás használja-e a LINUX-PAM-ot, vagy nem használja a következő parancsot a terminálján:

    $ ldd / bin / su

    Amint a kimenet 2. sorában láthatjuk, létezik lipbpam.tehát a fájl, amely megerősíti a lekérdezést.

  2. A LINUX-PAM konfigurációja az / etc / pam könyvtárban található.d /. Nyissa meg Linux operációs rendszere terminálját, és lépjen a pam könyvtárba a $ cd / etc / pam parancs beírásával.d /

    Ez a könyvtár tartalmazza a PAM-ot támogató egyéb szolgáltatásokat. Arra lehet


    ellenőrizze a tartalmat a $ ls parancs futtatásával a pam könyvtárában, a fenti képernyőkép szerint.

    ha nem találja az sshd szolgáltatást, amely támogatja a PAM-ot, akkor telepítenie kell az sshd szervert.

    Az SSH (vagy biztonságos shell) egy titkosított hálózati eszköz, amelyet arra terveztek, hogy a különféle típusú számítógépek / felhasználók biztonságosan bejelentkezhessenek a különféle számítógépekbe távolról a hálózaton keresztül. Telepítenie kell az openssh-server csomagot, amelyet a következő parancs futtatásával tehet meg a terminálon.

    $ sudo apt-get install openssh-server

    Telepíti az összes fájlt, majd újra beírhatja a pam könyvtárat, ellenőrizheti a szolgáltatásokat, és láthatja, hogy az sshd hozzá lett adva.

  3. Ezután írja be a következő parancsot. A VIM egy szövegszerkesztő, amely egyszerű szöveges dokumentumokat nyit meg a felhasználó számára, hogy megtekinthesse és szerkeszthesse azokat. $ vim sshd

    Ha ki akar lépni a vim szerkesztőből, és nem tudja ezt megtenni, nyomja meg egyszerre az Esc billentyűt és a kettőspontot (:), ami beszúrási módba kapcsol. A kettőspont után írja be a q karaktert, és nyomja meg az Enter billentyűt. Q a kilépést jelenti.

    Görgessen lefelé, és megtekintheti az összes modult, amelyet korábban leírtak, olyan kifejezésekkel, mint a kötelező, az include, a szükséges stb. Mik azok?

    PAM vezérlő zászlóként hívják őket. Térjünk rá a részletekre, mielőtt elmélyülnénk a PAM szolgáltatások sokkal több fogalmában.

PAM vezérlő zászlók

  1. Kívánt: Át kell adni az eredmény sikeréhez. Ez az a szükség, amely nélkül az ember nem nélkülözheti.
  2. Szükséges: Át kell adnia, különben további modulok nem futnak.
  3. Elegendő: A rendszer figyelmen kívül hagyja, ha nem sikerül. Ha átengedi ezt a modult, akkor további jelöléseket nem fogunk ellenőrizni.
  4. Választható: Gyakran figyelmen kívül hagyják. Csak akkor használják, ha csak egy modul van az interfészen.
  5. Tartalmazza: Az összes sort lekéri a többi fájlból.

Most a fő konfiguráció megírásának általános szabálya a következő: service type control-flag modul modul-argumentumok

  1. SZOLGÁLTATÁS: Ez az alkalmazás neve. Tegyük fel, hogy az alkalmazás neve NUCUTA.
  2. TÍPUS: Ez a használt modul típusa. Tegyük fel, hogy itt a használt modul hitelesítési modul.
  3. VEZÉRLŐZSÁK: Ez az a típusú vezérlő zászló, amelyet a korábban leírt öt típus közül az egyik tartalmaz.
  4. MODUL: A PAM abszolút fájlneve vagy relatív elérési útja.
  5. MODUL-ARGUMENTUMOK: Ez a tokenek külön listája a modul viselkedésének vezérléséhez.

Tegyük fel, hogy le akarja tiltani a root felhasználók hozzáférését bármilyen rendszerhez az SSH-n keresztül, korlátoznia kell az sshd szolgáltatáshoz való hozzáférést. Ezenkívül a bejelentkezési szolgáltatásokat is ellenőrizni kell.

Számos modul korlátozza a hozzáférést és jogosultságokat ad, de használhatjuk a modult / lib / security / pam_listfile.így amely rendkívül rugalmas, és számos funkcióval és kiváltsággal rendelkezik.

  1. Nyissa meg és szerkessze a fájlt / alkalmazást a célszolgáltatás vim szerkesztõjében a / etc / pam.d / könyvtárat.

A következő szabályt kell hozzáadni mindkét fájlhoz:

auth szükséges pam_listfile.tehát \ onerr = sikeres elem = felhasználói értelem = fájl megtagadása = / etc / ssh / deniedusers

Ahol az auth a hitelesítési modul, ott a vezérlő zászló, a pam_listfile szükséges.így a modul megadja a fájlok megtagadásának jogosultságait, az onerr = sikeres a modul argumentum, az item = felhasználó egy másik modul argumentum, amely meghatározza a fájlok felsorolását és a tartalmat, amelyet ellenőrizni kell, a sense = deny egy másik argumentum, amely akkor lesz, ha az elem található egy fájlban, és az = / etc / ssh / deniedusers fájlban, amely megad egy fájltípust, amely soronként csak egy elemet tartalmaz.

  1. Ezután hozzon létre egy másik fájlt / etc / ssh / deniedusers és adjuk hozzá a gyökér nevet. A következő paranccsal hajtható végre: $ sudo vim / etc / ssh / deniedusers
  1. Ezután mentse el a módosításokat, miután hozzáadta a root nevet, és zárja be a fájlt.
  2. A chmod commond segítségével módosíthatja a fájl hozzáférési módját. A chmod parancs szintaxisa a
 chmod [referencia] [operátor] [mód] fájl

Itt a hivatkozások segítségével meghatározható a betűk listája, amely jelzi, hogy kinek adjon engedélyt.

Például itt megírhatja a parancsot:

$ sudo chmod 600 / etc / ssh / deniedusers

Ez az egyszerű módon működik. Az / etc / ssh / deniedusers fájlban megadhatja azokat a felhasználókat, akiknek megtagadják a fájlhoz való hozzáférést, és a chmod paranccsal beállíthatja a fájl hozzáférési módját. Mostantól a fájl elérése közben a szabály miatt a PAM megtagadja az / etc / ssh / deniedusers fájlban felsorolt ​​összes felhasználó hozzáférését a fájlhoz.

Következtetés

A PAM dinamikus hitelesítési támogatást nyújt az alkalmazásokhoz és a szolgáltatásokhoz egy Linux operációs rendszerben. Ez az útmutató számos olyan jelölést határoz meg, amelyek felhasználhatók a modul eredményének kimenetelének meghatározására. Kényelmes és megbízható. a felhasználók számára, mint a hagyományos jelszó és a felhasználónév-hitelesítési mechanizmus, ezért a PAM-ot gyakran használják sok biztonságos rendszerben.

Egér Ezekkel az ingyenes eszközökkel adja hozzá az egérmozdulatokat a Windows 10 rendszerhez
Ezekkel az ingyenes eszközökkel adja hozzá az egérmozdulatokat a Windows 10 rendszerhez
Az elmúlt években a számítógépek és az operációs rendszerek nagymértékben fejlődtek. Volt idő, amikor a felhasználóknak parancsokkal kellett navigálni...
Egér Az egér mozgásának vezérlése és kezelése több monitor között a Windows 10 rendszerben
Az egér mozgásának vezérlése és kezelése több monitor között a Windows 10 rendszerben
Dual Display Mouse Manager lehetővé teszi az egér mozgásának vezérlését és konfigurálását több monitor között, lassítva annak mozgását a határ közeléb...
Egér A WinMouse segítségével testre szabhatja és javíthatja az egérmutató mozgását a Windows PC-n
A WinMouse segítségével testre szabhatja és javíthatja az egérmutató mozgását a Windows PC-n
Ha szeretné javítani az egérmutató alapértelmezett funkcióit, használjon ingyenes programokat WinMouse. További funkciókat kínál, amelyek segítenek ab...