PAM - Pluggable Authentication Modules
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
PAM (Pluggable Authentication Modules) inafanya kazi kama mekanizma ya usalama ambayo inasimamia utambulisho wa watumiaji wanaojaribu kufikia huduma za kompyuta, ikidhibiti ufikiaji wao kulingana na vigezo mbalimbali. Ni kama mlango wa kidijitali, ikihakikisha kwamba ni watumiaji walioidhinishwa pekee wanaweza kushiriki na huduma maalum huku ikipunguza matumizi yao ili kuzuia mzigo wa mfumo.
Mifumo ya Solaris na UNIX kwa kawaida hutumia faili moja kuu ya usanidi iliyoko katika /etc/pam.conf
.
Mifumo ya Linux inapendelea mbinu ya directory, ikihifadhi usanidi maalum wa huduma ndani ya /etc/pam.d
. Kwa mfano, faili ya usanidi kwa huduma ya kuingia inapatikana katika /etc/pam.d/login
.
Mfano wa usanidi wa PAM kwa huduma ya kuingia unaweza kuonekana kama ifuatavyo:
Mifumo hii, au vikundi vya usimamizi, inajumuisha auth, account, password, na session, kila moja ikiwa na jukumu tofauti katika mchakato wa uthibitishaji na usimamizi wa vikao:
Auth: Inathibitisha utambulisho wa mtumiaji, mara nyingi kwa kuomba nenosiri.
Account: Inashughulikia uthibitishaji wa akaunti, ikikagua hali kama uanachama wa kikundi au vizuizi vya wakati wa siku.
Password: Inasimamia masasisho ya nenosiri, ikiwa ni pamoja na ukaguzi wa ugumu au kuzuia mashambulizi ya kamusi.
Session: Inasimamia vitendo wakati wa kuanza au kumaliza kikao cha huduma, kama vile kuunganisha saraka au kuweka mipaka ya rasilimali.
Udhibiti unatoa mwitikio wa moduli kwa mafanikio au kushindwa, ukihusisha mchakato mzima wa uthibitishaji. Hizi ni pamoja na:
Required: Kushindwa kwa moduli inayohitajika kunasababisha kushindwa kwa mwisho, lakini tu baada ya moduli zote zinazofuata kukaguliwa.
Requisite: Kumaliza mchakato mara moja baada ya kushindwa.
Sufficient: Mafanikio yanakwepa ukaguzi wa moduli zingine za mfumo huo isipokuwa moduli inayofuata ikishindwa.
Optional: Inasababisha kushindwa tu ikiwa ndiyo moduli pekee katika safu.
Katika usanidi wenye moduli nyingi za uthibitishaji, mchakato unafuata mpangilio mkali. Ikiwa moduli ya pam_securetty
inakuta terminal ya kuingia haina ruhusa, kuingia kwa root kunazuiwa, lakini moduli zote bado zinashughulikiwa kutokana na hadhi yake ya "required". Moduli ya pam_env
inaweka mabadiliko ya mazingira, ambayo yanaweza kusaidia katika uzoefu wa mtumiaji. Moduli za pam_ldap
na pam_unix
zinafanya kazi pamoja kuthibitisha mtumiaji, huku pam_unix
ikijaribu kutumia nenosiri lililotolewa awali, ikiongeza ufanisi na kubadilika katika mbinu za uthibitishaji.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)