PAM - Pluggable Authentication Modules
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
PAM (Pluggable Authentication Modules) dien as 'n sekuriteitsmeganisme wat die identiteit van gebruikers wat probeer om toegang tot rekenaar dienste te verkry, verifieer, en hul toegang beheer op grond van verskeie kriteria. Dit is soortgelyk aan 'n digitale wag, wat verseker dat slegs gemagtigde gebruikers met spesifieke dienste kan omgaan terwyl dit moontlik hul gebruik beperk om stelseloorlaai te voorkom.
Solaris en UNIX-gebaseerde stelsels gebruik tipies 'n sentrale konfigurasie-lêer geleë by /etc/pam.conf
.
Linux-stelsels verkies 'n gidsbenadering, wat diens-spesifieke konfigurasies binne /etc/pam.d
stoor. Byvoorbeeld, die konfigurasie-lêer vir die aanmelddiens is te vind by /etc/pam.d/login
.
'n Voorbeeld van 'n PAM-konfigurasie vir die aanmelddiens mag soos volg lyk:
Hierdie ranges, of bestuursgroepe, sluit auth, account, password, en session in, elk verantwoordelik vir verskillende aspekte van die verifikasie- en sessiebestuurproses:
Auth: Bevestig gebruiker identiteit, dikwels deur om 'n wagwoord te vra.
Account: Hanteer rekeningverifikasie, wat toestande soos groepslidmaatskap of tydsbeperkings nagaan.
Password: Bestuur wagwoordopdaterings, insluitend kompleksiteitskontroles of voorkoming van woordeboekaanvalle.
Session: Bestuur aksies tydens die begin of einde van 'n diensessie, soos om gidse te monteer of hulpbronlimiete te stel.
Beheer bepaal die module se reaksie op sukses of mislukking, wat die algehele verifikasieproses beïnvloed. Hierdie sluit in:
Required: Mislukking van 'n vereiste module lei tot uiteindelike mislukking, maar slegs nadat alle daaropvolgende modules nagegaan is.
Requisite: Onmiddellike beëindiging van die proses by mislukking.
Sufficient: Sukses omseil die res van dieselfde reeks se kontroles tensy 'n daaropvolgende module misluk.
Optional: Lei slegs tot mislukking as dit die enigste module in die stapel is.
In 'n opstelling met meerdere auth modules volg die proses 'n strikte volgorde. As die pam_securetty
module die aanmeldterminal ongeoorloof vind, word root aanmeldings geblokkeer, maar alle modules word steeds verwerk weens sy "required" status. Die pam_env
stel omgewing veranderlikes in, wat moontlik help met gebruikerervaring. Die pam_ldap
en pam_unix
modules werk saam om die gebruiker te verifieer, met pam_unix
wat probeer om 'n voorheen verskafde wagwoord te gebruik, wat doeltreffendheid en buigsaamheid in verifikasiemetodes verbeter.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)