Linux-PAM-1.6.1

Introduksjon til Linux PAM

Linux PAM pakken inneholder pluggbare autentiseringsmoduler brukt av den lokale systemadministratoren for å kontrollere hvordan applikasjonsprogrammer autentiseres brukere.

[Notat]

Notat

Utviklingsversjoner av BLFS kan ikke bygge eller kjøre noen pakker riktig hvis LFS eller avhengigheter har blitt oppdatert siden den siste stabile versjonene av bøkene.

Pakkeinformasjon

Ytterligere Nedlastinger

Valgfri Dokumentasjon

Linux PAM Avhengigheter

Valgfri

libnsl-2.0.1, libtirpc-1.3.5, rpcsvc-proto-1.4.4, Berkeley DB (deprecated), libaudit, libeconf, og Prelude

[Notat]

Notat

Shadow-4.16.0 installeres på nytt og rekonfigurert etter installasjon og konfigurering av Linux PAM.

Kjernekonfigurasjon

For PAM modulen pam_loginuid.so (henvist av PAM konfigurasjonsfilen system-session hvis elogind-255.5 er bygget senere) for å virke, en kjernekonfigurasjonsparameter må angis, ellers vil modulen bare gjøre ingenting:

General setup --->
  [*] Auditing support                                                   [AUDIT]

Installasjon av Linux PAM

Først, forhindre installasjon av en unødvendig systemd fil:

sed -e /service_DATA/d \
    -i modules/pam_namespace/Makefile.am

Den sendte libtool.m4 filen har en konfigurasjon inkonsistent med LFS /usr hierarkiet. Dette problemet ville forårsake libpam_misc.so Knyttet til et rpath flagg som noen ganger kan forårsake problemer eller til og med sikkerhetsproblemer. Regenerer byggesystemet for å fikse inkonsekvensen:

autoreconf -fi

Hvis du lastet ned dokumentasjonen, pakk ut tarballen ved å kjøre følgende kommando.

tar -xf ../Linux-PAM-1.6.1-docs.tar.xz --strip-components=1

Kompiler og link Linux PAM med å kjøre følgende kommandoer:

./configure --prefix=/usr                        \
            --sbindir=/usr/sbin                  \
            --sysconfdir=/etc                    \
            --libdir=/usr/lib                    \
            --enable-securedir=/usr/lib/security \
            --docdir=/usr/share/doc/Linux-PAM-1.6.1 &&
make

For å teste resultatene, må en passende /etc/pam.d/other konfigurasjonsfil eksistere.

[Obs]

Reinstallering eller Oppgradering av Linux PAM

Hvis du har et system med Linux PAM installert og som fungerer, vær forsiktig når du endrer filene i /etc/pam.d, siden systemet ditt kan bli helt ubrukelig. Hvis du vil kjøre testene, trenger du ikke å lage en annen /etc/pam.d/other fil. Eksisterende fil kan brukes til testene.

Du også være klar over at make install overskriver konfigurasjonsfilene i /etc/security i tillegg til /etc/environment. Hvis du har endret disse filene, sørg for å sikkerhetskopiere dem.

For førstegangsinstallasjon oppretter du en konfigurasjonsfil ved å kjøre følgende kommandoer som root bruker:

install -v -m755 -d /etc/pam.d &&

cat > /etc/pam.d/other << "EOF"
auth     required       pam_deny.so
account  required       pam_deny.so
password required       pam_deny.so
session  required       pam_deny.so
EOF

Kjør nå testene ved å kjøre make check. Pass på at testene ikke produserer noe feil før du fortsetter installasjonen. Merk at testene er veldig lange. Omdiriger utdataene til en loggfil, slik at du kan inspisere den grundig.

For førstegangsinstallasjon fjerner du konfigurasjonsfilen opprettet tidligere ved å utstede følgende kommando som root bruker:

rm -fv /etc/pam.d/other

Nå, som root bruker:

make install &&
chmod -v 4755 /usr/sbin/unix_chkpwd

Parameterforklaringer

--enable-securedir=/usr/lib/security: Denne bryteren angir installasjonsstedet for PAM moduler.

chmod -v 4755 /usr/sbin/unix_chkpwd: setuid biten for unix_chkpwd hjelpeprogram må være slått på, slik at ikke-root prosesser kan få tilgang til shadow filen.

Konfigurere Linux-PAM

Konfigurasjonsfiler

/etc/security/* og /etc/pam.d/*

Konfigurasjonsinformasjon

Konfigurasjonsinformasjon er plassert i /etc/pam.d/. Her er en eksempelfil:

# Begin /etc/pam.d/other

auth            required        pam_unix.so     nullok
account         required        pam_unix.so
session         required        pam_unix.so
password        required        pam_unix.so     nullok

# End /etc/pam.d/other

Lag nå noen generiske konfigurasjonsfiler. Som root bruker:

install -vdm755 /etc/pam.d &&
cat > /etc/pam.d/system-account << "EOF" &&
# Begin /etc/pam.d/system-account

account   required    pam_unix.so

# End /etc/pam.d/system-account
EOF

cat > /etc/pam.d/system-auth << "EOF" &&
# Begin /etc/pam.d/system-auth

auth      required    pam_unix.so

# End /etc/pam.d/system-auth
EOF

cat > /etc/pam.d/system-session << "EOF" &&
# Begin /etc/pam.d/system-session

session   required    pam_unix.so

# End /etc/pam.d/system-session
EOF

cat > /etc/pam.d/system-password << "EOF"
# Begin /etc/pam.d/system-password

# use yescrypt hash for encryption, use shadow, and try to use any
# previously defined authentication token (chosen password) set by any
# prior module.
password  required    pam_unix.so       yescrypt shadow try_first_pass

# End /etc/pam.d/system-password
EOF

Hvis du ønsker å aktivere sterk passordstøtte, installer libpwquality-1.4.5, og følg instruksjoner på siden for å konfigurere pam_pwquality PAM modulen med sterk passordstøtte.

Deretter legger du til en restriktiv /etc/pam.d/other konfigurasjonsfil. Med denne filen vil programmer som er klar over PAM ikke kjøre med mindre en konfigurasjonsfil spesifikt for det programmet finnes.

cat > /etc/pam.d/other << "EOF"
# Begin /etc/pam.d/other

auth        required        pam_warn.so
auth        required        pam_deny.so
account     required        pam_warn.so
account     required        pam_deny.so
password    required        pam_warn.so
password    required        pam_deny.so
session     required        pam_warn.so
session     required        pam_deny.so

# End /etc/pam.d/other
EOF

PAM man side (man pam) gir et godt utgangspunkt for å lære om de mange feltene og tillatte oppføringer. Linux-PAM System Administrators' Guide anbefales for ytterligere informasjon.

[Viktig]

Viktig

Du bør nå installere på nytt Shadow-4.16.0 pakken .

Innhold

Installerte Programmer: faillock, mkhomedir_helper, pam_namespace_helper, pam_timestamp_check, pwhistory_helper, unix_chkpwd og unix_update
Installerte Biblioteker: libpam.so, libpamc.so og libpam_misc.so
Installerte Mapper: /etc/security, /usr/lib/security, /usr/include/security og /usr/share/doc/Linux-PAM-1.6.1

Korte Beskrivelser

faillock

viser og endrer registreringsfilene for autentiseringsfeil

mkhomedir_helper

er en hjelpebinær som lager hjemmemapper

pam_namespace_helper

er et hjelpeprogram som brukes til å konfigurere et privat navneområde for en brukerøkt

pwhistory_helper

er et hjelpeprogram som overfører passordhasher fra passwd eller shadow til opasswd

pam_timestamp_check

brukes til å sjekke om standard tidsstempel er gyldig

unix_chkpwd

er en hjelpebinær som bekrefter passordet til gjeldende bruker

unix_update

er en hjelpebinær som oppdaterer passordet til en gitt bruker

libpam.so

gir grensesnittene mellom applikasjoner og PAM moduler