PAM - Pluggable Authentication Modules
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
PAM (Pluggable Authentication Modules), bilgisayar hizmetlerine erişmeye çalışan kullanıcıların kimliğini doğrulayan bir güvenlik mekanizması olarak işlev görür ve erişimlerini çeşitli kriterlere göre kontrol eder. Bu, yalnızca yetkili kullanıcıların belirli hizmetlerle etkileşimde bulunmasını sağlamak için dijital bir kapı bekçisi gibidir ve sistem aşırı yüklenmelerini önlemek için kullanımını sınırlayabilir.
Solaris ve UNIX tabanlı sistemler, genellikle /etc/pam.conf
konumunda bulunan merkezi bir konfigürasyon dosyası kullanır.
Linux sistemleri, hizmete özgü konfigürasyonları /etc/pam.d
içinde saklayarak bir dizin yaklaşımını tercih eder. Örneğin, oturum açma hizmetinin konfigürasyon dosyası /etc/pam.d/login
konumundadır.
Oturum açma hizmeti için bir PAM konfigürasyon örneği şu şekilde görünebilir:
Bu alanlar veya yönetim grupları, kimlik doğrulama ve oturum yönetim sürecinin farklı yönlerinden sorumlu olan auth, account, password ve session'ı içerir:
Auth: Kullanıcı kimliğini doğrular, genellikle bir şifre istemekle.
Account: Hesap doğrulamasını yönetir, grup üyeliği veya günün saatine bağlı kısıtlamalar gibi koşulları kontrol eder.
Password: Şifre güncellemelerini yönetir, karmaşıklık kontrolleri veya sözlük saldırılarını önleme dahil.
Session: Bir hizmet oturumu başlatıldığında veya sona erdiğinde, dizinleri bağlama veya kaynak sınırlarını ayarlama gibi işlemleri yönetir.
Kontroller, modülün başarı veya başarısızlığa yanıtını belirler ve genel kimlik doğrulama sürecini etkiler. Bunlar şunları içerir:
Required: Gerekli bir modülün başarısızlığı, tüm sonraki modüller kontrol edildikten sonra nihai bir başarısızlığa yol açar.
Requisite: Başarısızlık durumunda sürecin hemen sonlandırılması.
Sufficient: Başarı, sonraki modül başarısız olmadıkça aynı alanın geri kalan kontrollerini atlar.
Optional: Yalnızca yığın içindeki tek modülse başarısızlığa neden olur.
Birden fazla auth modülü ile bir kurulumda, süreç katı bir sırayı takip eder. Eğer pam_securetty
modülü giriş terminalini yetkisiz bulursa, root girişleri engellenir, ancak "required" durumu nedeniyle tüm modüller yine de işlenir. pam_env
ortam değişkenlerini ayarlar, bu da kullanıcı deneyimine yardımcı olabilir. pam_ldap
ve pam_unix
modülleri, kullanıcıyı kimlik doğrulamak için birlikte çalışır; pam_unix
daha önce sağlanan bir şifreyi kullanmaya çalışarak kimlik doğrulama yöntemlerinde verimliliği ve esnekliği artırır.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)