A PAM sokkal könnyebbé teszi az adminisztrátorok és a fejlesztők számára, mivel önmagában változtatja meg a forráskód fájlt, és minimális interakciót igényel. Tehát a PAM definiálható a hitelesítéssel kapcsolatos szolgáltatások általános alkalmazásprogramozási felületeként is. A kód újraírása helyett önmagában módosul.
Pam modul interfészek
Auth: Ez a modul felel a hitelesítési célokért; ellenőrzi a jelszót.
Számla: Miután a felhasználó hitelesítette a megfelelő hitelesítő adatokat, a fiók szakasz ellenőrzi a fiók érvényességét, például lejárati vagy időbejelentési korlátokat stb.
Jelszó: Csak a jelszó megváltoztatására szolgál.
Ülés: Kezeli a munkameneteket, tartalmazza a felhasználói tevékenységet, a postaládák létrehozását, létrehozza a felhasználó saját könyvtárát stb.
Bemutató
- Annak ellenőrzése, hogy az alkalmazás használja-e a LINUX-PAM-ot, vagy nem használja a következő parancsot a terminálján:
$ ldd / bin / suAmint a kimenet 2. sorában láthatjuk, létezik lipbpam.tehát a fájl, amely megerősíti a lekérdezést.
- A LINUX-PAM konfigurációja az / etc / pam könyvtárban található.d /. Nyissa meg Linux operációs rendszere terminálját, és lépjen a pam könyvtárba a $ cd / etc / pam parancs beírásával.d /
Ez a könyvtár tartalmazza a PAM-ot támogató egyéb szolgáltatásokat. Arra lehet
ellenőrizze a tartalmat a $ ls parancs futtatásával a pam könyvtárában, a fenti képernyőkép szerint.ha nem találja az sshd szolgáltatást, amely támogatja a PAM-ot, akkor telepítenie kell az sshd szervert.
Az SSH (vagy biztonságos shell) egy titkosított hálózati eszköz, amelyet arra terveztek, hogy a különféle típusú számítógépek / felhasználók biztonságosan bejelentkezhessenek a különféle számítógépekbe távolról a hálózaton keresztül. Telepítenie kell az openssh-server csomagot, amelyet a következő parancs futtatásával tehet meg a terminálon.
$ sudo apt-get install openssh-serverTelepíti az összes fájlt, majd újra beírhatja a pam könyvtárat, ellenőrizheti a szolgáltatásokat, és láthatja, hogy az sshd hozzá lett adva.
- Ezután írja be a következő parancsot. A VIM egy szövegszerkesztő, amely egyszerű szöveges dokumentumokat nyit meg a felhasználó számára, hogy megtekinthesse és szerkeszthesse azokat. $ vim sshd
Ha ki akar lépni a vim szerkesztőből, és nem tudja ezt megtenni, nyomja meg egyszerre az Esc billentyűt és a kettőspontot (:), ami beszúrási módba kapcsol. A kettőspont után írja be a q karaktert, és nyomja meg az Enter billentyűt. Q a kilépést jelenti.
Görgessen lefelé, és megtekintheti az összes modult, amelyet korábban leírtak, olyan kifejezésekkel, mint a kötelező, az include, a szükséges stb. Mik azok?
PAM vezérlő zászlóként hívják őket. Térjünk rá a részletekre, mielőtt elmélyülnénk a PAM szolgáltatások sokkal több fogalmában.
PAM vezérlő zászlók
- Kívánt: Át kell adni az eredmény sikeréhez. Ez az a szükség, amely nélkül az ember nem nélkülözheti.
- Szükséges: Át kell adnia, különben további modulok nem futnak.
- Elegendő: A rendszer figyelmen kívül hagyja, ha nem sikerül. Ha átengedi ezt a modult, akkor további jelöléseket nem fogunk ellenőrizni.
- Választható: Gyakran figyelmen kívül hagyják. Csak akkor használják, ha csak egy modul van az interfészen.
- Tartalmazza: Az összes sort lekéri a többi fájlból.
Most a fő konfiguráció megírásának általános szabálya a következő: service type control-flag modul modul-argumentumok
- SZOLGÁLTATÁS: Ez az alkalmazás neve. Tegyük fel, hogy az alkalmazás neve NUCUTA.
- TÍPUS: Ez a használt modul típusa. Tegyük fel, hogy itt a használt modul hitelesítési modul.
- VEZÉRLŐZSÁK: Ez az a típusú vezérlő zászló, amelyet a korábban leírt öt típus közül az egyik tartalmaz.
- MODUL: A PAM abszolút fájlneve vagy relatív elérési útja.
- MODUL-ARGUMENTUMOK: Ez a tokenek külön listája a modul viselkedésének vezérléséhez.
Tegyük fel, hogy le akarja tiltani a root felhasználók hozzáférését bármilyen rendszerhez az SSH-n keresztül, korlátoznia kell az sshd szolgáltatáshoz való hozzáférést. Ezenkívül a bejelentkezési szolgáltatásokat is ellenőrizni kell.
Számos modul korlátozza a hozzáférést és jogosultságokat ad, de használhatjuk a modult / lib / security / pam_listfile.így amely rendkívül rugalmas, és számos funkcióval és kiváltsággal rendelkezik.
- Nyissa meg és szerkessze a fájlt / alkalmazást a célszolgáltatás vim szerkesztõjében a / etc / pam.d / könyvtárat.
A következő szabályt kell hozzáadni mindkét fájlhoz:
auth szükséges pam_listfile.tehát \ onerr = sikeres elem = felhasználói értelem = fájl megtagadása = / etc / ssh / deniedusersAhol az auth a hitelesítési modul, ott a vezérlő zászló, a pam_listfile szükséges.így a modul megadja a fájlok megtagadásának jogosultságait, az onerr = sikeres a modul argumentum, az item = felhasználó egy másik modul argumentum, amely meghatározza a fájlok felsorolását és a tartalmat, amelyet ellenőrizni kell, a sense = deny egy másik argumentum, amely akkor lesz, ha az elem található egy fájlban, és az = / etc / ssh / deniedusers fájlban, amely megad egy fájltípust, amely soronként csak egy elemet tartalmaz.
- Ezután hozzon létre egy másik fájlt / etc / ssh / deniedusers és adjuk hozzá a gyökér nevet. A következő paranccsal hajtható végre: $ sudo vim / etc / ssh / deniedusers
- Ezután mentse el a módosításokat, miután hozzáadta a root nevet, és zárja be a fájlt.
- A chmod commond segítségével módosíthatja a fájl hozzáférési módját. A chmod parancs szintaxisa a
Itt a hivatkozások segítségével meghatározható a betűk listája, amely jelzi, hogy kinek adjon engedélyt.
Például itt megírhatja a parancsot:
$ sudo chmod 600 / etc / ssh / deniedusersEz az egyszerű módon működik. Az / etc / ssh / deniedusers fájlban megadhatja azokat a felhasználókat, akiknek megtagadják a fájlhoz való hozzáférést, és a chmod paranccsal beállíthatja a fájl hozzáférési módját. Mostantól a fájl elérése közben a szabály miatt a PAM megtagadja az / etc / ssh / deniedusers fájlban felsorolt összes felhasználó hozzáférését a fájlhoz.
Következtetés
A PAM dinamikus hitelesítési támogatást nyújt az alkalmazásokhoz és a szolgáltatásokhoz egy Linux operációs rendszerben. Ez az útmutató számos olyan jelölést határoz meg, amelyek felhasználhatók a modul eredményének kimenetelének meghatározására. Kényelmes és megbízható. a felhasználók számára, mint a hagyományos jelszó és a felhasználónév-hitelesítési mechanizmus, ezért a PAM-ot gyakran használják sok biztonságos rendszerben.