Introduksjon til Linux PAM
Linux PAM pakken inneholder
pluggbare autentiseringsmoduler brukt av den lokale
systemadministratoren for å kontrollere hvordan
applikasjonsprogrammer autentiseres brukere.
Notat
Utviklingsversjoner av BLFS kan ikke bygge eller kjøre noen
pakker riktig hvis LFS eller avhengigheter har blitt oppdatert
siden den siste stabile versjonene av bøkene.
Pakkeinformasjon
Ytterligere Nedlastinger
Linux PAM Avhengigheter
Valgfri
libnsl-2.0.1, libtirpc-1.3.5, rpcsvc-proto-1.4.4, Berkeley
DB (deprecated), libaudit,
libeconf, og Prelude
Notat
Shadow-4.16.0 må
installeres på nytt og rekonfigurert etter installasjon og
konfigurering av Linux PAM.
Med Linux-PAM-1.4.0 og høyere er ikke pam_cracklib modulen
installert som standard. Bruk libpwquality-1.4.5 å håndheve sterke
passord.
Kjernekonfigurasjon
For PAM modulen pam_loginuid.so
(henvist av PAM konfigurasjonsfilen system-session
hvis elogind-255.5 er bygget senere) for å
virke, en kjernekonfigurasjonsparameter må angis, ellers vil
modulen bare gjøre ingenting:
General setup --->
[*] Auditing support [AUDIT]
Installasjon av Linux PAM
Først, forhindre installasjon av en unødvendig systemd fil:
sed -e /service_DATA/d \
-i modules/pam_namespace/Makefile.am
Den sendte libtool.m4
filen har en
konfigurasjon inkonsistent med LFS /usr
hierarkiet. Dette problemet ville forårsake
libpam_misc.so
Knyttet til et rpath
flagg som noen ganger kan forårsake problemer eller til og med
sikkerhetsproblemer. Regenerer byggesystemet for å fikse
inkonsekvensen:
autoreconf -fi
Hvis du lastet ned dokumentasjonen, pakk ut tarballen ved å kjøre
følgende kommando.
tar -xf ../Linux-PAM-1.6.1-docs.tar.xz --strip-components=1
Kompiler og link Linux PAM med å
kjøre følgende kommandoer:
./configure --prefix=/usr \
--sbindir=/usr/sbin \
--sysconfdir=/etc \
--libdir=/usr/lib \
--enable-securedir=/usr/lib/security \
--docdir=/usr/share/doc/Linux-PAM-1.6.1 &&
make
For å teste resultatene, må en passende /etc/pam.d/other
konfigurasjonsfil eksistere.
Reinstallering eller Oppgradering av Linux PAM
Hvis du har et system med Linux PAM installert og som fungerer,
vær forsiktig når du endrer filene i /etc/pam.d
, siden systemet ditt kan bli helt
ubrukelig. Hvis du vil kjøre testene, trenger du ikke å lage en
annen /etc/pam.d/other
fil.
Eksisterende fil kan brukes til testene.
Du også være klar over at make
install overskriver konfigurasjonsfilene i
/etc/security
i tillegg til
/etc/environment
. Hvis du har
endret disse filene, sørg for å sikkerhetskopiere dem.
For førstegangsinstallasjon oppretter du en konfigurasjonsfil ved å
kjøre følgende kommandoer som root
bruker:
install -v -m755 -d /etc/pam.d &&
cat > /etc/pam.d/other << "EOF"
auth required pam_deny.so
account required pam_deny.so
password required pam_deny.so
session required pam_deny.so
EOF
Kjør nå testene ved å kjøre make
check. Pass på at testene ikke produserer noe feil
før du fortsetter installasjonen. Merk at testene er veldig lange.
Omdiriger utdataene til en loggfil, slik at du kan inspisere den
grundig.
For førstegangsinstallasjon fjerner du konfigurasjonsfilen
opprettet tidligere ved å utstede følgende kommando som
root
bruker:
rm -fv /etc/pam.d/other
Nå, som root
bruker:
make install &&
chmod -v 4755 /usr/sbin/unix_chkpwd
Parameterforklaringer
--enable-securedir=/usr/lib/security
:
Denne bryteren angir installasjonsstedet for PAM moduler.
chmod -v 4755
/usr/sbin/unix_chkpwd: setuid biten for
unix_chkpwd
hjelpeprogram må være slått på, slik at ikke-root
prosesser kan få tilgang til shadow filen.
Konfigurere Linux-PAM
Konfigurasjonsfiler
/etc/security/*
og /etc/pam.d/*
Konfigurasjonsinformasjon
Konfigurasjonsinformasjon er plassert i /etc/pam.d/
. Her er en eksempelfil:
# Begin /etc/pam.d/other
auth required pam_unix.so nullok
account required pam_unix.so
session required pam_unix.so
password required pam_unix.so nullok
# End /etc/pam.d/other
Lag nå noen generiske konfigurasjonsfiler. Som root
bruker:
install -vdm755 /etc/pam.d &&
cat > /etc/pam.d/system-account << "EOF" &&
# Begin /etc/pam.d/system-account
account required pam_unix.so
# End /etc/pam.d/system-account
EOF
cat > /etc/pam.d/system-auth << "EOF" &&
# Begin /etc/pam.d/system-auth
auth required pam_unix.so
# End /etc/pam.d/system-auth
EOF
cat > /etc/pam.d/system-session << "EOF" &&
# Begin /etc/pam.d/system-session
session required pam_unix.so
# End /etc/pam.d/system-session
EOF
cat > /etc/pam.d/system-password << "EOF"
# Begin /etc/pam.d/system-password
# use yescrypt hash for encryption, use shadow, and try to use any
# previously defined authentication token (chosen password) set by any
# prior module.
password required pam_unix.so yescrypt shadow try_first_pass
# End /etc/pam.d/system-password
EOF
Hvis du ønsker å aktivere sterk passordstøtte, installer
libpwquality-1.4.5, og følg
instruksjoner på siden for å konfigurere pam_pwquality PAM
modulen med sterk passordstøtte.
Deretter legger du til en restriktiv /etc/pam.d/other
konfigurasjonsfil. Med denne
filen vil programmer som er klar over PAM ikke kjøre med mindre
en konfigurasjonsfil spesifikt for det programmet finnes.
cat > /etc/pam.d/other << "EOF"
# Begin /etc/pam.d/other
auth required pam_warn.so
auth required pam_deny.so
account required pam_warn.so
account required pam_deny.so
password required pam_warn.so
password required pam_deny.so
session required pam_warn.so
session required pam_deny.so
# End /etc/pam.d/other
EOF
PAM man side (man pam) gir et godt
utgangspunkt for å lære om de mange feltene og tillatte
oppføringer.
Linux-PAM System Administrators' Guide anbefales for
ytterligere informasjon.