Gaming Linux® From Scratch (Systemd Utgave) - Versjon #d3927

Kapittel 4. Sikkerhet

Linux-PAM-1.7.1

Introduksjon til Linux PAM

Linux PAM pakken inneholder pluggbare autentiseringsmoduler som brukes av den lokale systemadministratoren for å kontrollere hvordan applikasjonsprogrammer autentiserer brukere.

Ytterligere Nedlastinger

Valgfri dokumentasjon

Kjernekonfigurasjon

For PAM modulen pam_loginuid.so (referert av PAM konfigurasjonsfilen system-session hvis Systemd-257.8 er gjenoppbygd med PAM støtte senere) for å fungere, må en kjernekonfigurasjonsparameter angis, ellers vil modulen bare ikke gjøre noe: 

General setup --->
  [*] Auditing support                                                   [AUDIT]

Installasjon av Linux PAM

Kompiler og koble Linux PAM ved å kjøre følgende kommandoer: 

mkdir build &&
cd    build &&

meson setup ..        \
  --prefix=/usr       \
  --buildtype=release \
  -D docs=disabled &&

ninja
[Obs]

Ny installasjon eller oppgradering av Linux PAM

Hvis du har et system med Linux PAM installert og som fungerer, vær forsiktig når du endrer filene i /etc/pam.d, siden systemet ditt kan bli helt ubrukelig.

Du bør også være klar over at ninja install overskriver konfigurasjonsfilene i /etc/security så vel som /etc/environment. Hvis du har endret disse filene, må du sørge for å sikkerhetskopiere dem.

Nå, som root bruker: 

ninja install &&
chmod -v 4755 /usr/sbin/unix_chkpwd

Hvis du lastet ned den valgfrie dokumentasjonen, kjør følgende kommando som root bruker: 

tar -C / -xvf ../../Linux-PAM-1.7.1-docs.tar.xz

lib32 Installasjon av Linux PAM

Installer lib32-Linux-PAM ved å kjøre følgende kommandoer: 

rm -rf * &&
CC="gcc -m32" CXX="g++ -m32"           \
PKG_CONFIG_PATH="/usr/lib32/pkgconfig" \
meson setup ..                         \
  --prefix=/usr                        \
  --libdir=/usr/lib32                  \
  --buildtype=release                  \
  -D docs=disabled &&

ninja

Nå, som root bruker: 

DESTDIR=$PWD/DESTDIR ninja install    &&
cp -vR DESTDIR/usr/lib32/* /usr/lib32 &&
rm -rf DESTDIR                        &&
ldconfig

Parameterforklaringer

[Notat]

Notat

Undersøk meson_options.txt eller meson.options for en fullstendig liste over alternativer.

-D docs=disabled: Dette alternativet deaktiverer bygging av dokumentasjon som krever Docbook XML og XSLT pakker.

Konfigurere Linux-PAM

Konfigurasjonsfiler

/etc/security/* og /etc/pam.d/*

Konfigurasjonsinformasjon

Konfigurasjonsinformasjonen plasseres i /etc/pam.d/. Her er en eksempelfil: 

# Begin /etc/pam.d/other

auth            required        pam_unix.so     nullok
account         required        pam_unix.so
session         required        pam_unix.so
password        required        pam_unix.so     nullok

# End /etc/pam.d/other

Lag nå noen generiske konfigurasjonsfiler. Som root bruker: 

install -vdm755 /etc/pam.d &&
cat > /etc/pam.d/system-account << "EOF" &&
# Begin /etc/pam.d/system-account

account   required    pam_unix.so

# End /etc/pam.d/system-account
EOF

cat > /etc/pam.d/system-auth << "EOF" &&
# Begin /etc/pam.d/system-auth

auth      required    pam_unix.so

# End /etc/pam.d/system-auth
EOF

cat > /etc/pam.d/system-session << "EOF" &&
# Begin /etc/pam.d/system-session

session   required    pam_unix.so

# End /etc/pam.d/system-session
EOF

cat > /etc/pam.d/system-password << "EOF"
# Begin /etc/pam.d/system-password

# use yescrypt hash for encryption, use shadow, and try to use any
# previously defined authentication token (chosen password) set by any
# prior module.
password  required    pam_unix.so       yescrypt shadow try_first_pass

# End /etc/pam.d/system-password
EOF

Legg deretter til en restriktiv /etc/pam.d/other konfigurasjonsfil. Med denne filen vil programmer som er PAM bevisste ikke kjøre med mindre det finnes en konfigurasjonsfil spesifikt for det programmet. 

cat > /etc/pam.d/other << "EOF"
# Begin /etc/pam.d/other

auth        required        pam_warn.so
auth        required        pam_deny.so
account     required        pam_warn.so
account     required        pam_deny.so
password    required        pam_warn.so
password    required        pam_deny.so
session     required        pam_warn.so
session     required        pam_deny.so

# End /etc/pam.d/other
EOF

PAM manualsiden (man pam) gir et godt utgangspunkt for å lære om de forskjellige feltene og tillatte oppføringer. Linux-PAM System Administrators' Guide på /usr/share/doc/Linux-PAM-1.7.0/Linux-PAM_SAG.txt anbefales for ytterligere informasjon.

[Viktig]

Viktig

Du bør nå installere på nytt Shadow-4.18.0 og Systemd-257.8 pakkene.

Innhold

Installerte Programmer: faillock, mkhomedir_helper, pam_namespace_helper, pam_timestamp_check, pwhistory_helper, unix_chkpwd og unix_update
Installerte Biblioteker: libpam, libpamc, og libpam_misc
Installerte Mapper: /etc/security, /usr/lib/security, /usr/include/security og /usr/share/doc/Linux-PAM-1.7.1

Korte Beskrivelser

faillock

viser og endrer filene for autentiseringsfeilregistrering

mkhomedir_helper

er en hjelpebinærfil som oppretter hjemmemapper

pam_namespace_helper

er et hjelpeprogram som brukes til å konfigurere et privat navnerom for en brukerøkt

pwhistory_helper

er et hjelpeprogram som overfører passord hasher fra passwd eller shadow til opasswd

pam_timestamp_check

brukes til å sjekke om standard tidsstempel er gyldig

unix_chkpwd

er en hjelpebinærfil som bekrefter passordet til den nåværende brukeren

unix_update

er en hjelpebinærfil som oppdaterer passordet til en gitt bruker

libpam

sørger for grensesnitt mellom applikasjoner og PAM moduler