Modulul pam_access.so este utilizat pentru a furniza / refuza accesul pe baza fișierului /etc/security/access.conf. Linile acestui fișier au următorul format:
drepturi: utilizatori: de unde
- drepturi - fie + (permite), fie - (interzic)
- utilizatori - ALL, numele de utilizator sau nodul utilizator @, unde nodul corespunde cu numele mașinii locale, altfel intrarea este ignorată.
Modulul pam_cracklib.so verifică parolele dicționarului. Acesta este conceput pentru a testa o parolă nouă și împiedică utilizarea parolelor ușor crăpate în sistem, care sunt cuvinte comune, parole care conțin caractere duplicat și parole prea scurte. Există parametri opționali: debug, type = și retry =. Parametrul de depanare include includerea informațiilor de depanare în fișierul jurnal. Parametrul de tip, urmat de un șir, modifică parola New Unix implicită: cuvântul Unix la șirul specificat. Parametrul de retrimire specifică numărul de încercări pe care utilizatorul le-a dat pentru a introduce parola, epuizarea cărora returnează o eroare (în mod implicit, se face o încercare).
Listing 1.8. Fișierul /etc/pam.d/other
auth a solicitat pam_deny.so
autorul a solicitat pam_warn.so
contul necesar pam_deny.so
parola necesară pam_deny.so
parola necesară pam_warn.so
sesiunea necesară pam_deny.so
Modulul pam_dialup.so verifică dacă este necesară specificarea unei parole pentru accesarea terminalului sau a terminalelor la distanță, utilizând fișierul / etc / security / ttys.dialup. Modulul este aplicabil nu numai ttyS, ci, în general, la orice tty-terminal. Când este necesară o parolă, este verificată opțiunea specificată în / etc / security / passwd.dialup. Modificările la fișierul passwd.dialup sunt efectuate de programul dpasswd.
Modulul pam_group.so efectuează verificări în conformitate cu conținutul fișierului /etc/security/group.conf. Acest fișier listează grupurile care pot deveni membre ale utilizatorului specificate în fișier atunci când sunt îndeplinite anumite condiții.
Modulul pam_lastlog.so scrie informațiile despre ultimele informații despre momentul și locul în care utilizatorul a fost conectat la sistem. De obicei, acest modul este marcat cu tipul sesiunii și drapelul opțional.
Modulul pam_limits.so vă permite să impuneți diferite restricții utilizatorilor conectați la sistem. Aceste restricții nu se aplică utilizatorului rădăcină (sau altui utilizator cu un identificator nul). Restricțiile sunt stabilite la nivel de logare și nu sunt globale sau permanente, acționând doar în cadrul aceleiași intrări.
Modulul pam_lastfile.so acceptă un element, îl compară cu lista din fișier și returnează SUCCESUL sau EROARE pe baza rezultatelor comparației. Parametrii acestui modul sunt după cum urmează:
- element = [terminal utilizator | nod de la distanță | remote_user | grup | shell]
- sense = [allow | deny] (starea returnării, atunci când înregistrarea este găsită în listă, în caz contrar se returnează starea opusă celei specificate)
filge = / full / path / și / nume fișier - onerr = [succes | fail] (care trebuie returnat în cazul unei erori)
- arr1u = [utilizator | @ artist] (specifică utilizator sau grup, în legătură cu care se aplică restricții Se face sens pentru a înregistra elementul de tip = numai. [Terminal | udalennyy_uzel | shell], pentru elementul de tip de înregistrare = [utilizator | udalennyy_polzovatel | grup] este ignorat)
Modulul pam_permit.so este opțional pentru modulul pam_deny.so. Întoarce întotdeauna SUCCES. Orice parametri trecuți de modul sunt ignorați.
Modulul pam_pwdb.so oferă o interfață pentru fișierele passwd și umbra. Următorii parametri sunt posibili:
- depanare - scrieți informații de depanare la un fișier jurnal;
- audit - informații suplimentare de depanare pentru cei care nu sunt mulțumiți de informațiile obișnuite de depanare;
- use_first_pass - nu întrebați niciodată utilizatorul pentru o parolă, ci luați-o din modulele stack anterioare;
- try_first_pass - încercați să obțineți parola din modulele anterioare, în caz de eșec, întrebați utilizatorul;
- use_authtok - retur Valoarea ERORILE (FAILURE) în cazul în care pam_authtok nu a fost stabilită, nu necesită o parolă de utilizator, dar să-l ia de la modulele teancului anterior (doar pentru modulele de tip parola de stiva);
- not_set_pass - nu setați o parolă din acest modul ca parolă pentru modulele ulterioare;
- umbra - suporta sistemul de parole umbrite;
- unix - pune parole în / etc / passwd;
- md5 - utilizați parolele md5 data viitoare când schimbați parolele;
- bigcrypt - când se folosește următoarea modificare de parolă, folosiți parolele DEC C2;
Modulul pam_rhosts_auth.so permite / interzice utilizarea fișierelor .rhosts sau hosts.equiv. În plus, permite / interzice utilizarea intrărilor "periculoase" în aceste fișiere. Parametrii acestui modul sunt după cum urmează:
- no_hosts_equiv - ignorați fișierul /etc/hosts.equiv;
- no_rhosts - ignorați fișierul / etc / rhosts sau
- depanare - informații de depanare a jurnalului;
- în prezent - nu afișați avertismente;
- suprima - nu emite mesaje;
- promiscuous - permiteți utilizarea caracterului "+" în orice câmp.
Modulul pam_rootok.so returnează valoarea SUCCESS pentru orice utilizator cu un identificator nul. Când este marcat cu steagul suficient, acest modul vă permite să accesați serviciul fără a specifica o parolă. Parametrul pentru modul este doar unul: depanare.
Modulul pam_shells.so returnează SUCCESS dacă shell-ul utilizatorului specificat în fișierul / etc / passwd este prezent în lista shell din fișierul / etc / shells. Dacă / etc / passwd nu atribuie niciun shell utilizatorului, atunci / bin / sh este pornit. Dacă fișierul / etc / passwd specifică un shell pentru utilizatorul care nu se află în lista / etc / shells, modulul returnează valoarea FAILURE. Dreptul de a scrie în fișierul / etc / shells ar trebui să fie doar un superuser.
Modulul pam_stress.so este utilizat pentru a gestiona parolele. El are o mulțime de parametri, inclusiv depanarea neschimbată, dar în cazul general, numai două sunt de interes:
- rootok - permite superuserului să schimbe parolele utilizatorilor fără a introduce parola veche;
- expirat - cu acest parametru modulul este executat, ca în cazul în care parola de utilizator a expirat.
Alte opțiuni de module vă permit să dezactivați oricare dintre aceste două moduri, utilizați o parolă de la un alt modul sau trece parola la un alt modul, și așa mai departe. N. Aici, nu va lua în considerare toți parametrii modulului, deci, dacă aveți nevoie de a utiliza caracteristicile speciale ale acestei unități, citește lor descriere în documentația modulului.
- onerr = [succes | fail] - ce ar trebui să fac în cazul în care apare o eroare, de exemplu, nu am putut deschide fișierul;
- filge = / full / path / și / nume fișier - dacă nu există, atunci se folosește fișierul implicit. Următorul parametru are sens numai pentru auth:
- no_magic_root - Permite numărarea numărului de încercări pentru superuser (implicit nu rulează). Este util dacă login-ul superuserului la sistem este permis prin telnet. Următorii parametri au sens numai pentru tipul de cont:
- deny = n - refuză accesul după n încercări. Cu acest parametru, comportamentul modulului reset / no_reset este modificat de la no_reset pentru resetarea în mod implicit. Acest lucru se întâmplă pentru toți utilizatorii, cu excepția root (UID 0), cu excepția cazului în care utilizați parametrul no_magic_root;
- no_magic_root - nu ignorați parametrul negativ pentru încercările de acces de la utilizatorul rădăcină. Atunci când este utilizat împreună cu parametrul deny = (a se vedea mai devreme), utilizatorul rădăcină este implicit pentru resetarea comportamentului, ca și pentru ceilalți utilizatori;
- resetați - resetați numărarea numărului de încercări la conectarea reușită;
- no_reset - nu resetați numărarea numărului de încercări de conectare reușită; este utilizat în mod implicit, cu excepția cazului în care parametrul deny = este specificat.
Modulul pam_time.so vă permite să restricționați accesul la serviciu în funcție de timp. Toate instrucțiunile despre configurarea acestuia pot fi găsite în fișierul / etc / security / time.conf. Nu există parametri: totul este specificat în fișierul de configurare.
Modulul pam_warn.so scrie un mesaj despre apelul său la syslog. Parametrii nu sunt.
Modulul pam_wheel.so permite numai membrilor grupului de roți să devină superuseri. Grupul de roți este un grup de sisteme special al cărui membri au privilegii mai mari decât utilizatorii obișnuiți, dar mai mici decât superuserul. Prezența sa face posibilă reducerea numărului de utilizatori de sistem cu drepturi de superutilizator, ceea ce le face membrii grupului roți și sporind astfel securitatea sistemului. Dacă superutilizatorul poate intra, puteți utiliza sistemul doar prin intermediul terminalului, apoi modulul pentru a pune la dispoziția utilizatorului prin munca telnet cu drepturi de superutilizator, interzicându-le accesul în cazul în care nu fac parte din grupul wheelModul utilizează următorii parametri:
- depanare - logare informații de depanare;
- use_uid - definiția calității de membru pe baza actualei ID-uri de utilizator, și nu ceea ce i sa atribuit la autentificare;
- încredere - dacă utilizatorul aparține grupului de roți, returnați SUCCES, nu IGNORE;
- respinge - modifică sensul procedurii la invers (return nu este bun). În combinație cu grup = permite refuzarea accesului membrilor acestui grup.
Directorul / etc / security este direct legat de directorul /etc/pam.d, deoarece conține fișierele de configurare pentru diferitele module PAM care sunt numite în fișierele din /etc/pam.d.