PAM mnogo olakšava administratorima i programerima jer sam mijenja promjene datoteke izvornog koda i zahtjeva minimalnu interakciju. Dakle, PAM se također može definirati kao generalizirano sučelje aplikacijskog programiranja za usluge povezane s autentifikacijom. Umjesto ponovnog pisanja koda, on se samostalno mijenja.
Sučelja modula Pam
Auth: Modul je odgovoran za autentifikaciju; provjerava lozinku.
Račun: Nakon što se korisnik autentificira ispravnim vjerodajnicama, odjeljak računa provjerava valjanost računa poput isteka ili vremenskih ograničenja itd.
Zaporka: Koristi se samo za promjenu lozinke.
Sjednica: Upravlja sesijama, sadrži račun korisničkih aktivnosti, stvaranje poštanskih sandučića, kreira korisnikov kućni direktorij itd.
Vodič
- Da biste provjerili koristi li vaša aplikacija LINUX-PAM ili ne, koristite sljedeću naredbu u vašem terminalu:
$ ldd / bin / suKao što vidimo u retku 2 rezultata, postoji lipbpam.pa datoteka koja potvrđuje upit.
- Konfiguracija LINUX-PAM-a nalazi se u direktoriju / etc / pam.d /. Otvorite terminal vašeg Linux operativnog sustava i idite u pam direktorij upisivanjem naredbe: $ cd / etc / pam.d /
Ovo je direktorij koji sadrži ostale usluge koje podržavaju PAM. Može se
provjerite sadržaj pokretanjem naredbe $ ls unutar direktorija pam kao što je prikazano na gornjoj snimci zaslona.ako sshd ne pronađete kao uslugu koja podržava PAM, morate instalirati sshd poslužitelj.
SSH (ili sigurna ljuska) je šifrirani mrežni alat dizajniran da omogući različitim vrstama računala / korisnika da se sigurno prijave na različita računala na daljinu preko mreže. Morate instalirati paket openssh-server što možete učiniti pokretanjem sljedeće naredbe u vašem terminalu.
$ sudo apt-get install openssh-serverInstalirat će sve datoteke, a zatim možete ponovo ući u direktorij pam i provjeriti ima li usluga i vidjeti je li sshd dodan.
- Zatim upišite sljedeću naredbu. VIM je uređivač teksta koji korisniku otvara obične tekstualne dokumente kako bi ih mogao vidjeti i urediti. $ vim sshd
Ako želite izaći iz vim uređivača, a to ne možete učiniti, istodobno pritisnite tipku Esc i dvotačku (:) što vas dovodi u način umetanja. Nakon dvotočke upišite q i pritisnite enter. Ovdje q znači quit.
Možete se pomaknuti prema dolje i vidjeti sve prethodno opisane module s pojmovima kao što su obavezni, uključuju, potrebni itd. Što je to?
Pozvani su kao PAM kontrolne zastave. Uđimo u njihove detalje prije nego što zađemo u mnogo više koncepata PAM usluga.
PAM kontrolne zastavice
- Potreban: Moraju proći kako bi rezultirali uspjehom. To je nužnost bez koje se ne može.
- Potrebno: Mora proći, u suprotnom se ne pokreću daljnji moduli.
- Dovoljno: Zanemaruje se ako ne uspije. Ako se ovaj modul prenese, neće se provjeravati daljnje oznake.
- Neobvezno: Često se ignorira. Koristi se samo kada je u sučelju samo jedan modul.
- Uključi: Dohvaća sve retke iz ostalih datoteka.
Sada je općenito pravilo za pisanje glavne konfiguracije sljedeće: vrsta usluge control-flag module module-argument
- SERVIS: Ovo je naziv aplikacije. Pretpostavimo da je naziv vaše aplikacije NUCUTA.
- TIP: Ovo je vrsta korištenog modula. Pretpostavimo da je ovdje korišteni modul autentifikacijski modul.
- KONTROLNA ZASTAVA: Ovo je vrsta korištene kontrolne zastave, jedna od pet vrsta kao što je prethodno opisano.
- MODUL: Apsolutni naziv datoteke ili relativni naziv puta PAM-a.
- MODUL-ARGUMENTI: To je zasebni popis tokena za kontrolu ponašanja modula.
Pretpostavimo da želite onemogućiti pristup root korisnika bilo kojoj vrsti sustava putem SSH-a, morate ograničiti pristup sshd usluzi. Štoviše, uslugama prijave treba kontrolirati pristup.
Postoji nekoliko modula koji ograničavaju pristup i daju povlastice, ali modul možemo koristiti / lib / security / pam_listfile.tako koja je izuzetno fleksibilna i ima brojne funkcionalnosti i privilegije.
- Otvorite i uredite datoteku / aplikaciju u vim uređivaču za ciljanu uslugu ulaskom u / itd. / pam.d / imenik prvo.
Sljedeće pravilo treba dodati u obje datoteke:
potrebno je prijaviti pam_listfile.pa \ onerr = uspješna stavka = korisnički smisao = zabraniti datoteku = / itd / ssh / odbijeni korisniciGdje je auth modul za provjeru identiteta, potrebna je kontrolna zastavica, datoteka pam_list.tako modul daje zabrane privilegije datotekama, onerr = uspjeh je argument modula, item = user je drugi argument modula koji određuje popis datoteka i sadržaj zbog kojeg se mora provjeriti, sense = deny je drugi argument modula koji će ako je stavka pronađena u datoteci i datoteka = / etc / ssh / deniusers koja određuje vrstu datoteke koja sadrži samo jednu stavku u retku.
- Dalje stvorite drugu datoteku / etc / ssh / deniusers i dodajte root kao ime u njemu. To se može učiniti slijedeći naredbu: $ sudo vim / etc / ssh / deniusers
- Zatim spremite promjene nakon dodavanja imena korijena i zatvorite datoteku.
- Upotrijebite chmod commond za promjenu načina pristupa datoteci. Sintaksa naredbe chmod je
Ovdje se reference koriste za određivanje popisa slova koja ukazuje kome dati dopuštenje.
Na primjer, ovdje možete napisati naredbu:
$ sudo chmod 600 / etc / ssh / deniusersOvo djeluje na jednostavan način. Navedite korisnike kojima je odbijen pristup vašoj datoteci u datoteci / etc / ssh / failedusers i postavite način pristupa datoteci pomoću naredbe chmod. Od sada, dok pokušava pristupiti datoteci zbog ovog pravila, PAM će zabraniti svim korisnicima navedenim u datoteci / etc / ssh / deniusers bilo kakav pristup datoteci.
Zaključak
PAM pruža podršku za dinamičku provjeru autentičnosti aplikacija i usluga u Linux operativnom sustavu. Ovaj vodič navodi niz zastavica koje se mogu koristiti za određivanje ishoda rezultata modula. Prikladan je i pouzdan. za korisnike od tradicionalne lozinke i mehanizma provjere autentičnosti korisničkog imena, pa se stoga PAM često koristi u mnogim zaštićenim sustavima.