Pam что это в компьютере

Обновлено: 15.01.2025

Если вы увлекаетесь британским детективом и знаете, кто такие Шерлок Холмс, Секстон Блейк, мистер Ридер, мисс Марпл, Эркюль Пуаро, Отец Браун, доктор Джон Эвелин Торндайк и лорд Питер Уимсли, тогда вы наверняка знаете персонажа, придуманного Э.У. Хорнунгом (это зять сэра Артура Конан-Дойля, создателя Шерлока Холмса) - джентльмен-вор Раффлс. В рассказе "Подарок к юбилею" он был очарован старинной золотой чашей, выставленной в Британском музее. Найдя единственного охранника, Раффлс расспрашивает его о его службе, и получает самонадеянный ответ: "Видите ли, сэр, сейчас еще рано, однако днем здесь будет полно народу, и чем больше людей, тем безопаснее." (пер. А. Егорова). В операционной системе Linux безопасность обеспечивается не количеством глаз (которое как раз не спасло беднягу-охранника; в конце статьи можно найти ссылку на текст рассказа), а с помощью PAM (Pluggable Authentication Modules, Подключаемых Модулей Аутентификации). В этой статье мы познакомимся с функциями, настройками и использованием PAM.

Давайте начнем с самого начала и рассмотрим, как программа аутентифицирует пользователя. Если не будет единого базового механизма аутентификации, тогда каждая программа должна содержать в себе логику аутентификации, такую как просмотр файла /etc/passwd на наличие пользователя и соответствия введенного пароля. Но что если таких программ много? Придется включать одну и ту же логику в каждую из них? А если требования к безопасности изменятся? Что, придется модифицировать и перекомпилировать все эти программы? Очевидно, это плохой метод и наверняка не самый безопасный. Как бы сделать так, чтобы все приложения сразу обновлялись до требуемого метода аутентификации и удовлетворяли новым требованиям безопасности?

Проект PAM предоставляет решение путем добавления дополнительного программного уровня. Программа, которой требуется аутентификация, должна использовать стандартную библиотеку или API (Application Programming Interface, Прикладной программный интерфейс), а системный администратор должен указать порядок аутентификации для данной конкретной программы (проверки осуществляются отдельными модулями; можно даже запрограммировать собственные модули). Таким образом, можно динамически изменять требования безопасности, причем все программы будут автоматически следовать вашим новым указаниям. Другими словами, можно модифицировать механизмы аутентификации программ (которые собраны с поддержкой PAM) без пересборки самих программ. С точки зрения программиста это очень хороший подход, ведь ему не требуется связываться с механизмами аутентификации. Когда мы используем модули PAM, требуемые проверки выполняются автоматически (см. рисунок 1).

Библиотека PAM разбивает механизм аутентификации на четыре группы (см. таблицу 1). Обратите внимание, что не всем программам требуются все четыре действия. К примеру, команде passwd требуется лишь последняя группа. Подсказка: как определить, использует ли программа PAM? Нужно вывести с помощью утилиты ldd все разделяемые библиотеки, используемые данной программой, и найти среди них libpam.so; пример см. в листинге 1.

Рисунок 1. Когда программа делает запрос аутентификации, библиотека PAM исполняет код модулей, указанных в конфигурационном файле и принимает решение, принять (успех) или отклонить (неудача) этот запрос.

Листинг 1. Чтобы узнать, использует ли программа PAM, воспользуйтесь утилитой ldd и найдите в ее выводе библиотеку libpam.so. Нужно писать полный путь до исполняемого файла. Если не знаете полный путь, узнайте его с помощью команды whereis. Например:

Таблица 1. Проверки PAM подразделяются на четыре группы, организованных в виде очереди. Задействование тех или иных групп определяется запросами пользователя.

auth	Относится к аутентификации пользователей, к примеру, когда нужно ввести пароль. Обычно эти проверки идут первыми.
account	Относится к управлению учетными записями, к примеру, сюда входит проверка устаревания пароля и проверки по времени доступа. Когда пользователь идентифицирован с помощью модулей auth, модули account определяют, можно ли пользователю давать доступ.
session	Относится к управлению соединениями, например, журналирование входов в систему, журналирование выполненных действий или выполнение очистки по завершению сессии.
password	Содержит функции, например, обновление пароля пользователя.

Таблица 2. Модули выполняются последовательно в каждой группе, в зависимости от их управляющих флагов. Требуется указать, является ли проверка обязательной, желательной и т.п.

required	Этот модуль должен завершиться успешно. Если он завершается неудачей, вся проверка также завершается неудачей. Если все модули помечены как required, тогда непрохождение любой из проверок будет означать отказ в доступе, хотя все другие модули в группе также будут исполнены.
requisite	Работает аналогично required, однако в случае неудачи, возврат происходит незамедлительно, и остальные модули группы даже не исполняются.
sufficient	Если этот модуль завершается успешно, остальные модули не исполняются, и вся проверка завершается успешно.
optional	Если этот модуль завершается неудачно, тогда окончательное решение зависит от результата исполнения других модулей. Если в конфигурации нет модулей типа required или sufficient, тогда для разрешения доступа хотя бы один из модулей типа optional должен завершиться успешно.

Настройка PAM

Для каждой службы (такой как login или SSH), необходимо указать, какие проверки будут сделаны в каждой группе. Список этих действий называется стеком. В завимости от результата исполнения в каждом стеке, пользователю будет разрешен или отклонен доступ, либо что-то будет позволено или не позволено. Исполняемые действия задаются для каждой службы в отдельном файле в каталоге /etc/pam.d (новый метод), либо в едином файле /etc/pam.conf (старый метод). В данной статье рассмотрен первый, новый метод.

Внимание! Помните, что безрассудная правка конфигурационных файлов может сделать вашу систему неработоспособной! К примеру, удалив все конфигурационные файлы, вы не сможете вновь войти в систему. Поэтому убедитесь, что у вас под рукой есть резервная копия всех конфигов и загрузочный CD.

Управляющие флаги могут быть и более сложными, но я не стану перечислять их все. Если интересно, в конце статьи есть ссылка на подробности. Также можно использовать директиву include, к примеру auth include common-account , которая включает содержимое (а именно правила) других файлов.

Существует особый сервис под названием other, который используется в тех случаях, когда для программы, использующей PAM, не найдено соответствующего конфигурационного файла. С точки зрения безопасности будет неплохо начать с создания /etc/pam.d/other такого, как на листинге 2. Все попытки войти в систему будут отклонены, а администратору будет отправлено уведомление об этом событии. Если хотите сделать более либеральные правила, замените pam_deny.so на pam_unix2.so, тогда будет использоваться стандартный метод аутентификации Linux, хотя уведомление все равно будет отправлено (см. листинг 3). Если не заботиться о безопасности, замените pam_deny.so на pam_permit.so - это даст доступ для всех, но потом пеняйте на себя.

Рекомендую провести беглый осмотр всех файлов в /etc/pam.d. Если найдете файлы неиспользуемых приложений, просто переименуйте их, и PAM задействует стандартную конфигурацию "other". Если позже программа понадобится, переименуйте соответствующий конфигурационный файл обратно, и все встанет на свои места.

Листинг 2. Безопасные правила "other" отклоняют все запросы доступа к службе, для которой не указаны другие правила. Модуль pam_deny.so всегда завершается неудачей, поэтому все попытки получения доступа будут отклонены, вдобавок к этому модуль pam_warn.so отправит системному администратору уведомление об этом событии.

Листинг 3. Правила PAM, эквивалентные стандартным правилам безопасности UNIX. Замечание: в некоторых дистрибутивах нужно указывать модуль pam_unix.so.

Листинг 4. Файл /etc/pam.d/sshd содержит правила безопасности для SSH-соединений. Обратите внимание, что модуль pam_access.so добавляет дополнительные проверки (см. листинг 5).

Листинг 5. Файл /etc/security/access.conf используется модулем pam_access.so, чтобы определить, каким пользователям позволено входить в систему и с каких IP-адресов. В данном примере, в систему теоретически может войти любой пользователь локальной сети, но лишь пользователю remoteKereki позволен удаленный доступ извне.

Листинг 6. Секция password в файле /etc/pam.d/passwd определяет хорошие требования, предъявляемые к новым паролям.

Безопасный удаленный доступ

pam_unix2.so: предоставляет традиционные методы по работе с паролями, правами и сессиями, классический UNIX-подход.
pam_nologin.so: запрещает вход в систему, когда существует файл /etc/nologin.
pam_access.so: реализует дополнительные правила контроля доступа (будет описано чуть позже), в соответствии с файлом /etc/security/access.conf.
pam_limits.so: накладывает ограничения на пользователей и группы, в соответствии с файлом /etc/security/limits.conf.
pam_umask.so: устанавливает маску создания файла для текущего окружения (более подробные сведения дает команда info umask).
pam_pwcheck: проверяет прочность пароля (подробности также будут даны чуть позже).

Если вы взглянете на файл /etc/pam.d/sshd, который установлен в вашей системе, вы наверняка увидите то же самое, только не будет модуля pam_access. Он и представляет здесь наибольший интерес. Этот модуль обеспечивает дополнительные проверки, определяемые файлом /etc/security/access.conf. В нем я указал тех, кто может получать доступ к моему компьютеру (листинг 5). Первая строка определяет, что войти в систему может любой пользователь (ALL) из внутренней домашней сети. Вторая строка означает, что пользователь remoteKereki может войти в систему из любой точки мира, а последняя строка однозначно завершает политику доступа, запрещая доступ всем, кто не указан в предыдущих строках. Я создал пользователя remoteKereki с минимумом прав, чтобы я сам мог войти в систему, затем, выполнив su, стать собственно собой или пользователем root, если потребуется. Если злоумышленник угадает пароль для remoteKereki, это ему не поможет, ведь атакующему придется еще угадывать пароль для других, более полезных пользователей. Таким образом, пользователь remoteKereki является дополнительным барьером для злоумышленников.

Чтобы демон sshd задействовал PAM при аутентификации пользователей, нужно добавить строку UsePAM yes в файл конфигурации /etc/ssh/sshd_config, а затем перезапустить SSH: /etc/init.d/sshd restart . Чтобы еще больше увеличить защищенность компьютера, можно перенести службу SSH со стандартного порта (22) на другой, запретить вход в систему под именем root и ограничить число попыток входа, чтобы усложнить задачу брут-форса (прямого перебора всех паролей), как это сделать - тема отдельной статьи. Дополнительные сведения можно получить в руководстве man sshd_config.

Нужны хорошие пароли

Какова длина нового пароля?
Похож ли новый пароль на бывший?
Совпадает ли новый пароль со старым, или записан как зеркальное отображение старого, или получен перестановкой частей старого пароля? (к примеру, safe123 и 123safe)
Новый пароль получен изменением регистра некоторых букв старого пароля? (например, sEcReT и SEcrET)
Использовался ли этот пароль ранее? (старые пароли сохраняются в файле /etc/security/opasswd)

Можно вызвать модуль с параметрами (их полный перечень смотри в man pam_pwcheck), которые описывают дополнительные правила:

minlen=aNumber: определяет минимальную длину (по умолчанию, 5 символов) нового пароля. Значение "нуль" означает, что будет принят любой пароль.
cracklib=pathToDictionaries: проверяет новый пароль на наличие в словаре cracklib. Если пароль имеется в словаре, тогда самая простая брут-форс атака легко и быстро взломает его.
tries=aNumber: определяет количество попыток смены пароля, ведь новый пароль может быть не принят из-за его простоты.
remember=aNumber: определяет количество запоминаемых предыдущих паролей.

Сходную функциональность предоставляет другой модуль, под названием pam_cracklib.so, однако у него другие параметры. К примеру, в нем можно указать, в скольких символах должны отличаться старый и новый пароли, нужно ли включать цифры, символы в верхнем и нижнем регистрах, а также неалфавитные символы. Более подробную информацию можно найти в руководстве man pam_cracklib.

Заключение

В Linux все не так, как в британском музее, и для обеспечения безопасности используется PAM. Даже не прибегая к написанию собственных модулей, можно достаточно гибко настроить механизмы аутентификации, удовлетворяя любые требования безопасности. При этом можно быть уверенным в том, что программы задействуют эти новые правила автоматически.

Модули, модули кругом

Безопасность вашей системы зависит от используемых вами модулей. Модули хранятся в каталоге /lib/security или /lib64/security (для 64-битных систем), однако некоторые дистрибутивы не следуют этому стандарту. К примеру, в некоторых системах модули можно найти в каталоге /usr/lib/security. При желании можно написать и собственные модули (см. раздел Источники информации), но для начала следует разобраться с уже имеющимися. Ниже приведен список наиболее часто используемых модулей. Больше информации по каждому из них можно получить, набрав man модуль , к примеру man pam_pwcheck . Обратите внимание, что нет "стандартного списка" модулей. Их состав варьируется от дистрибутива к дистрибутиву.

Источники информации

Федерико Кереки (Federico Kereki) - системный инженер из Уругвая, в течение 20 лет преподает в университете, работает разработчиком и консультантом, пишет статьи и учебные курсы. Он пользуется Linux уже много лет. Заинтересован в улучшении безопасности и производительности Linux-машин.

PAM.exe это исполняемый файл, который является частью SV8300 PCPro Программа, разработанная NEC Electronics Corporation, Программное обеспечение обычно о 42.43 MB по размеру.

Расширение .exe имени файла отображает исполняемый файл. В некоторых случаях исполняемые файлы могут повредить ваш компьютер. Пожалуйста, прочитайте следующее, чтобы решить для себя, является ли PAM.exe Файл на вашем компьютере - это вирус или троянский конь, который вы должны удалить, или это действительный файл операционной системы Windows или надежное приложение.

PAM.exe безопасно, или это вирус или вредоносная программа?

Первое, что поможет вам определить, является ли тот или иной файл законным процессом Windows или вирусом, это местоположение самого исполняемого файла. Например, такой процесс, как PAM.exe, должен запускаться, а не где-либо еще.

Для подтверждения откройте диспетчер задач, выберите «Просмотр» -> «Выбрать столбцы» и выберите «Имя пути к изображению», чтобы добавить столбец местоположения в диспетчер задач. Если вы обнаружите здесь подозрительный каталог, возможно, стоит дополнительно изучить этот процесс.

Еще один инструмент, который иногда может помочь вам обнаружить плохие процессы, - это Microsoft Process Explorer. Запустите программу (не требует установки) и активируйте «Проверить легенды» в разделе «Параметры». Теперь перейдите в View -> Select Columns и добавьте «Verified Signer» в качестве одного из столбцов.

Если статус процесса «Проверенная подписывающая сторона» указан как «Невозможно проверить», вам следует взглянуть на процесс. Не все хорошие процессы Windows имеют метку проверенной подписи, но ни один из плохих.

Наиболее важные факты о PAM.exe:

Если у вас возникли какие-либо трудности с этим исполняемым файлом, вам следует определить, заслуживает ли он доверия, перед удалением PAM.exe. Для этого найдите этот процесс в диспетчере задач.

Найдите его местоположение (оно должно быть в C: \ Program Files \ SV8300 PCPro \) и сравните его размер с приведенными выше фактами.

Кроме того, функциональность вируса может сама влиять на удаление PAM.exe. В этом случае вы должны включить Безопасный режим с поддержкой сети - безопасная среда, которая отключает большинство процессов и загружает только самые необходимые службы и драйверы. Когда вы можете запустить программу безопасности и полный анализ системы.

Могу ли я удалить или удалить PAM.exe?

Не следует удалять безопасный исполняемый файл без уважительной причины, так как это может повлиять на производительность любых связанных программ, использующих этот файл. Не забывайте регулярно обновлять программное обеспечение и программы, чтобы избежать будущих проблем, вызванных поврежденными файлами. Что касается проблем с функциональностью программного обеспечения, проверяйте обновления драйверов и программного обеспечения чаще, чтобы избежать или вообще не возникало таких проблем.

Согласно различным источникам онлайн, 9% людей удаляют этот файл, поэтому он может быть безвредным, но рекомендуется проверить надежность этого исполняемого файла самостоятельно, чтобы определить, является ли он безопасным или вирусом. Лучшая диагностика для этих подозрительных файлов - полный системный анализ с Reimage, Если файл классифицирован как вредоносный, эти приложения также удалят PAM.exe и избавятся от связанных вредоносных программ.

Однако, если это не вирус, и вам нужно удалить PAM.exe, вы можете удалить SV8300 PCPro с вашего компьютера, используя его деинсталлятор, который должен находиться по адресу: MsiExec.exe / I . Если вы не можете найти его деинсталлятор, то вам может потребоваться удалить SV8300 PCPro, чтобы полностью удалить PAM.exe. Вы можете использовать функцию «Установка и удаление программ» на панели управления Windows.

1. в Меню Пуск (для Windows 8 щелкните правой кнопкой мыши в нижнем левом углу экрана), нажмите Панель управления, а затем под Программы:
o Windows Vista / 7 / 8.1 / 10: нажмите Удаление программы.
o Windows XP: нажмите Установка и удаление программ.

2. Когда вы найдете программу SV8300 PCProщелкните по нему, а затем:
o Windows Vista / 7 / 8.1 / 10: нажмите Удалить.
o Windows XP: нажмите Удалить or Изменить / Удалить вкладка (справа от программы).

3. Следуйте инструкциям по удалению SV8300 PCPro.

Наиболее распространенные ошибки PAM.exe, которые могут возникнуть:

• «Ошибка приложения PAM.exe».
• «Ошибка PAM.exe».
• «Возникла ошибка в приложении PAM.exe. Приложение будет закрыто. Приносим извинения за неудобства».
• «PAM.exe не является допустимым приложением Win32».
• «PAM.exe не запущен».
• «PAM.exe не найден».
• «Не удается найти PAM.exe».
• «Ошибка запуска программы: PAM.exe.»
• «Неверный путь к приложению: PAM.exe».

Аккуратный и опрятный компьютер - это один из лучших способов избежать проблем с SV8300 PCPro. Это означает выполнение сканирования на наличие вредоносных программ, очистку жесткого диска cleanmgr и ПФС / SCANNOWудаление ненужных программ, мониторинг любых автозапускаемых программ (с помощью msconfig) и включение автоматических обновлений Windows. Не забывайте всегда делать регулярные резервные копии или хотя бы определять точки восстановления.

Если у вас возникла более серьезная проблема, постарайтесь запомнить последнее, что вы сделали, или последнее, что вы установили перед проблемой. Использовать resmon Команда для определения процессов, вызывающих вашу проблему. Даже в случае серьезных проблем вместо переустановки Windows вы должны попытаться восстановить вашу установку или, в случае Windows 8, выполнив команду DISM.exe / Online / Очистка-изображение / Восстановить здоровье, Это позволяет восстановить операционную систему без потери данных.

Чтобы помочь вам проанализировать процесс PAM.exe на вашем компьютере, вам могут пригодиться следующие программы: Менеджер задач безопасности отображает все запущенные задачи Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записи автозапуска. Единый рейтинг риска безопасности указывает на вероятность того, что это шпионское ПО, вредоносное ПО или потенциальный троянский конь. Это антивирус обнаруживает и удаляет со своего жесткого диска шпионское и рекламное ПО, трояны, кейлоггеры, вредоносное ПО и трекеры.

Обновлено ноябрь 2021 г .:

Мы рекомендуем вам попробовать это новое программное обеспечение, которое исправляет компьютерные ошибки, защищает их от вредоносных программ и оптимизирует производительность вашего ПК. Этот новый инструмент исправляет широкий спектр компьютерных ошибок, защищает от таких вещей, как потеря файлов, вредоносное ПО и сбои оборудования.

(опциональное предложение для Reimage - Cайт | Лицензионное соглашение | Политика конфиденциальности | Удалить)

Управление привилегированным доступом (Privileged Account Management, PAM) помогает:

уменьшить площадь атаки,
смягчить воздействия кибератак,
повысить производительности работы,
снизить риска от ошибок пользователя.

Главной целью PAM является ограничение прав доступа и разрешенных действий для учетных записей, систем, устройств (таких, как IoT), процессов и приложений.

PAM рассматривается многими аналитиками как один из наиболее важных проектов безопасности для снижения рисков. Ведь PAM обеспечивает детальный обзор, контроль и аудит над привилегированными доступами и действиями.

Что такое привилегии и зачем они?

Привилегия в информационных технологиях – это полномочие, которое учетная запись или процесс имеет в вычислительной системе.

Включать в себя разрешения на выполнение следующих действий:

выключение систем,
загрузка драйверов устройств,
настройка сетей или систем,
подготовка и настройка учетных записей,
подготовка и настройка облачных экземпляров и т. п.

Сотрудникам можно дать привилегии, основанные на ролях (например, маркетинг, менеджмент или IT-отдел) и других параметрах (стаже работы, времени суток и т. д.).

Примеры привилегированных учетных записей:

Локальные административные учетные записи – неличные учетные записи, обеспечивающие административный доступ только к локальному хосту или экземпляру.
Административные учетные записи домена – привилегированный административный доступ ко всем рабочим станциям и серверам в домене.
Аварийные учетные записи – непривилегированные пользователи с административным доступом к защищенным системам в случае чрезвычайной ситуации.
Сервисные аккаунты – привилегированные локальные или доменные учетные записи, которые используются приложением или службой для взаимодействия с операционной системой.
Учетные записи приложений – для доступа к базам данных, запуска пакетных заданий или сценариев или предоставления доступа к другим приложениям.

Привилегии позволяют пользователям, приложениям и другим системным процессам права доступа к определенным ресурсам. В то же время возможность злоупотребления со стороны как внутренних, так и внешних злоумышленников создает для организаций серьезную угрозу безопасности.

Внешние и внутренние угрозы привилегированных доступов

Хакеры, вредоносные программы, партнеры, инсайдеры, пользовательские ошибки представляют собой наиболее распространенные векторы привилегированных угроз.

Преимущества управления привилегированным доступом:

Чем больше привилегий и доступа к пользователю, учетной записи или процессу накапливается, тем больше вероятность злоупотребления, эксплойта или ошибки. Реализация управления привилегиями не только минимизирует вероятность возникновения нарушения безопасности, но также ограничит область нарушения в случае его возникновения.
PAM может демонтировать несколько точек цепочки кибератак, обеспечивая защиту как от внешних атак, так и от внутренних атак, совершаемых в сетях.
Ограничение привилегий для людей, процессов и приложений уменьшит площадь атаки, защищая от внешних и внутренних угроз.
С PAM уменьшится распространение вредоносных программ, ведь многие их разновидности нуждаются в повышенных привилегиях для установки или запуска. Удаление чрезмерных привилегий, таких как принудительное применение наименьших привилегий в масштабах предприятия, помешает вредоносному ПО закрепиться в системе.
Снизится вероятность возникновения проблем несовместимости между приложениями или системами и сам риск простоев.
Управление привилегированным доступом поможет создать менее сложную и, следовательно, более простую для аудита среду.

Представление рабочего процесса привилегированного управления паролями.

Как осуществляется защита PAM

Автоматизированные, предварительно упакованные решения PAM способны масштабироваться на миллионы привилегированных учетных записей и активов для повышения безопасности и соответствия требованиям.

Решения PAM могут автоматизировать обнаружение, управление и мониторинг, чтобы устранить пробелы в привилегированном покрытии учетных записей и учетных данных, одновременно оптимизируя рабочие процессы и значительно уменьшая административную сложность.

Управление привилегированными доступами поможет повысить безопасность с помощью:

Ведения полного списка всех активных привилегированных учетных записей в сети и обновления этого списка при каждом создании новой учетной записи.
Хранения привилегированных идентификаторов, таких как пароли, ключи SSH и сертификаты SSL, в безопасном хранилище.
Применения строгих политик безопасности, охватывающих сложность пароля, частоту его сброса, создания надежных пар ключей SSH и так далее.
Предоставления привилегированного доступа с минимальными разрешениями, необходимыми для выполнения задания.
Аудита всех операций с идентификацией, таких как вход для привилегированных пользователей, общие пароли, попытки доступа к паролю, действия по сбросу и т. д. привилегированных пользователей в режиме реального времени.

Компания CloudNetworks занимается внедрением PAM-систем. После консультации мы подберем наилучший вариант для защиты вашего бизнеса.

Мануал

Он объединяет несколько низкоуровневых модулей аутентификации в API высокого уровня, который обеспечивает поддержку динамической аутентификации для приложений.

Это позволяет разработчикам писать приложения, требующие аутентификации, независимо от базовой системы аутентификации.

Многие современные дистрибутивы Linux по умолчанию поддерживают Linux-PAM (в дальнейшем именуемый «PAM»).

В этой статье мы расскажем, как настроить расширенный PAM в системах Ubuntu и CentOS.

Прежде чем мы продолжим, обратите внимание, что:

Вам не обязательно понимать внутреннюю работу PAM.

PAM может серьезно изменить безопасность вашей системы Linux.

Ошибочная конфигурация может отключить доступ к вашей системе частично или полностью.

Например, случайное удаление файла (ов) конфигурации в /etc/pam.d/* и / или /etc/pam.conf может заблокировать вас в вашей собственной системе!

Как проверить программу на работу с PAM

Чтобы использовать PAM, приложение / программа должны быть «осведомлены о PAM»; он должен быть написан и скомпилирован специально для использования PAM.

Чтобы узнать, является ли программа «осведомленной о PAM» или нет, проверьте, скомпилирована ли она с библиотекой PAM с помощью команды ldd.

Как настроить PAM в Linux

PAM будет игнорировать файл, если каталог существует.

Синтаксис основного файла конфигурации выглядит следующим образом.

Формат каждого правила представляет собой набор токенов, разделенных пробелами (первые три не чувствительны к регистру).

Мы объясним эти токены в следующих разделах.

service: фактическое название приложения.
type: тип модуля / контекст / интерфейс.
control-flag: указывает на поведение PAM-API, если модуль не может выполнить свою задачу аутентификации.
module: абсолютное имя файла или относительный путь PAM.
module-argumetns: список токенов для управления поведением модуля.

Синтаксис каждого файла в /etc/pam.d/ аналогичен синтаксису основного файла и состоит из строк следующего вида:

Это пример определения правила (без аргументов модуля), найденного в файле /etc/pam.d/sshd, который запрещает вход без полномочий root при наличии /etc/nologin:

Понимание групп управления PAM и контрольных флагов

Задачи аутентификации PAM разделены на четыре независимые группы управления.

Эти группы управляют различными аспектами типичного запроса пользователя на ограниченный сервис.

Модуль связан с одним из этих типов групп управления:

account: предоставлять услуги для проверки учетной записи: срок действия пароля пользователя истек ?; разрешен ли этому пользователю доступ к запрашиваемой услуге?
authentication: аутентификация пользователя и настройка учетных данных пользователя.
password: отвечают за обновление пользовательских паролей и работают вместе с модулями аутентификации.
session: управление действиями, выполненными в начале сеанса и в конце сеанса.

Загружаемые объектные файлы PAM (модули) должны находиться в следующем каталоге: /lib/security / или /lib64/security в зависимости от архитектуры.

Поддерживаемые флаги управления:

Как ограничить root-доступ к SSH-сервису через PAM

В качестве примера, мы настроим, как использовать PAM для отключения доступа пользователя root к системе через SSH и программы входа в систему.

Здесь мы хотим отключить доступ пользователя root к системе, ограничив доступ к службам входа и sshd.

Мы можем использовать модуль /lib/security/pam_listfile.so, который предлагает большую гибкость в ограничении привилегий определенных учетных записей.

Откройте и отредактируйте файл для целевой службы в каталоге /etc/pam.d/, как показано ниже:

Добавьте это правило в оба файла.

Объяснение токенов в приведенном выше правиле:

auth: тип модуля (или контекст).
required: это управляющий флаг, который означает, что если модуль используется, он должен пройти, иначе общий результат будет неудачным, независимо от состояния других модулей.
pam_listfile.so: это модуль, который предоставляет способ запретить или разрешить услуги на основе произвольного файла.
onerr = успешно: аргумент модуля.
item = user: module аргумент, который указывает, что указано в файле и должно быть проверено.
sense = deny: аргумент модуля, который определяет действие, которое нужно предпринять, если оно найдено в файле, если элемент НЕ найден в файле, то запрашивается противоположное действие.
file = /etc/ssh/deniedusers: аргумент модуля, который указывает файл, содержащий один элемент в строке.

Далее нам нужно создать файл /etc/ssh/ deniedusers и добавить в него имя root:

Сохраните изменения и закройте файл, затем установите для него необходимые разрешения:

Отныне вышеприведенное правило будет указывать PAM обратиться к файлу /etc/ssh/deniedusers и запретить доступ к SSH и службам входа для любого пользователя в списке.

Резюме

Это мощный, но очень сложный для понимания и использования.

В этой статье мы объяснили, как настроить расширенные функции PAM в Ubuntu и CentOS

. Если у вас есть какие-либо вопросы или комментарии, используйте форму обратной связи ниже.

Читайте также: