PAM - Pluggable Authentication Modules

Basic Information

PAM (Pluggable Authentication Modules) діє як механізм безпеки, який перевіряє особу користувачів, які намагаються отримати доступ до комп'ютерних послуг, контролюючи їх доступ на основі різних критеріїв. Це схоже на цифрового охоронця, який забезпечує, щоб лише авторизовані користувачі могли взаємодіяти з певними послугами, при цьому потенційно обмежуючи їх використання, щоб запобігти перевантаженню системи.

Configuration Files

• Системи Solaris та UNIX зазвичай використовують центральний конфігураційний файл, розташований за адресою /etc/pam.conf.

• Системи Linux віддають перевагу підходу з директоріями, зберігаючи специфічні для послуг конфігурації в /etc/pam.d. Наприклад, конфігураційний файл для служби входу знаходиться за адресою /etc/pam.d/login.

Приклад конфігурації PAM для служби входу може виглядати так:

auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_nologin.so
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_unix_auth.so try_first_pass
account sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_unix_acct.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_ldap.so
password required /lib/security/pam_pwdb.so use_first_pass
session required /lib/security/pam_unix_session.so

PAM Management Realms

Ці області, або групи управління, включають auth, account, password та session, кожна з яких відповідає за різні аспекти процесу аутентифікації та управління сесіями:

• Auth: Підтверджує особу користувача, часто запитуючи пароль.

• Account: Обробляє перевірку облікового запису, перевіряючи умови, такі як членство в групі або обмеження за часом доби.

• Password: Керує оновленнями паролів, включаючи перевірки складності або запобігання атакам словником.

• Session: Керує діями під час початку або закінчення сесії служби, такими як монтування каталогів або встановлення обмежень ресурсів.

PAM Module Controls

Контролі визначають реакцію модуля на успіх або невдачу, впливаючи на загальний процес аутентифікації. До них відносяться:

• Required: Невдача обов'язкового модуля призводить до остаточної невдачі, але лише після перевірки всіх наступних модулів.

• Requisite: Негайне завершення процесу у разі невдачі.

• Sufficient: Успіх обходить перевірки решти модулів того ж рівня, якщо наступний модуль не зазнає невдачі.

• Optional: Викликає невдачу лише якщо це єдиний модуль у стеку.

Example Scenario

У налаштуванні з кількома модулями auth процес слідує строгому порядку. Якщо модуль pam_securetty виявляє, що термінал входу несанкціонований, вхід для root блокується, проте всі модулі все ще обробляються через його статус "required". Модуль pam_env встановлює змінні середовища, що потенційно допомагає в користувацькому досвіді. Модулі pam_ldap та pam_unix працюють разом для аутентифікації користувача, причому pam_unix намагається використати раніше наданий пароль, підвищуючи ефективність і гнучкість методів аутентифікації.

References

• https://hotpotato.tistory.com/434