PAM gør det meget lettere for administratorer og udviklere, da det alene ændrer kildekodefilen og kræver minimal interaktion. Så PAM kan også defineres som et generaliseret applikationsprogrammeringsgrænseflade til godkendelsesrelaterede tjenester. I stedet for at skrive koden igen, ændres den alene.
Pam-modulgrænseflader
Auth: Det er modulet, der er ansvarlig for godkendelsesformål; det bekræfter adgangskoden.
Konto: Efter at brugeren er godkendt med korrekte legitimationsoplysninger, kontrollerer kontosektionen for kontogyldighed som udløb eller tidsindlogningsbegrænsninger osv.
Adgangskode: Det bruges kun til at ændre adgangskoden.
Session: Det administrerer sessionerne, indeholder konto for brugeraktivitet, oprettelse af postkasser, opretter brugerens hjemmekatalog osv.
Vejledning
- For at kontrollere, om din applikation bruger LINUX-PAM eller ikke bruger følgende kommando i din terminal:
$ ldd / bin / suSom vi kan se i linje 2 i outputen findes der en lipbpam.så fil, der bekræfter forespørgslen.
- Konfigurationen af LINUX-PAM findes i biblioteket / etc / pam.d /. Åbn terminalen på dit Linux-operativsystem, og gå til pam-biblioteket ved at skrive kommandoen: $ cd / etc / pam.d /
Dette er den mappe, der indeholder andre tjenester, der understøtter PAM. Man kan
tjek indholdet ved at køre kommandoen $ ls inde i biblioteket med pam som vist i ovenstående skærmbillede.Hvis du ikke finder sshd som en tjeneste, der understøtter PAM, skal du installere sshd-serveren.
SSH (eller sikker shell) er et krypteret netværksværktøj designet til at tillade forskellige typer computere / brugere at logge sikkert ind på forskellige computere eksternt via et netværk. Du skal installere openssh-serverpakken, som du kan gøre ved at køre følgende kommando i din terminal.
$ sudo apt-get install openssh-serverDet vil installere alle filerne, og derefter kan du genindtaste pam-biblioteket og tjekke for tjenesterne og se sshd er tilføjet.
- Skriv derefter følgende kommando. VIM er en teksteditor, der åbner almindelige tekstdokumenter, som brugeren kan se og redigere. $ vim sshd
Hvis du vil afslutte vim-editoren og ikke er i stand til det, skal du trykke på Esc-tasten og kolon (:) på samme tid, som sætter dig i indsættelsesfunktionen. Efter kolon type q og tryk enter. Her står q for at afslutte.
Du kan rulle ned og se alle de moduler, der blev beskrevet tidligere med udtryk som krævet, inkludere, kræve osv. Hvad er det for nogle?
De kaldes som PAM Control Flags. Lad os komme ind på deres detaljer, inden vi dykker ned i meget flere koncepter for PAM-tjenester.
PAM-kontrolflag
- Påkrævet: Skal bestå for at opnå succes. Det er nødvendigheden, at man ikke kan undvære.
- Krav: Skal bestå ellers køres ingen yderligere moduler.
- Tilstrækkelig: Det ignoreres, hvis det fejler. Hvis dette modul er bestået, kontrolleres ingen yderligere flag.
- Valgfri: Det ignoreres ofte. Det bruges kun, når der kun er et modul i grænsefladen.
- Omfatte: Den henter alle linjer fra de andre filer.
Nu er den generelle regel for at skrive hovedkonfigurationen som følger servicetype kontrol-flag modul modul-argumenter
- SERVICE: Dette er navnet på applikationen. Antag, at navnet på din ansøgning er NUCUTA.
- TYPE: Dette er den anvendte type modul. Antag her, at det anvendte modul er godkendelsesmodul.
- KONTROL-FLAG: Dette er den anvendte type kontrolflag, en blandt de fem typer som beskrevet tidligere.
- MODUL: Det absolutte filnavn eller det relative sti til PAM.
- MODULARGUMENTER: Det er den separate liste over tokens, der styrer modulets opførsel.
Antag, at du vil deaktivere rootbrugeradgang til enhver form for system via SSH, skal du begrænse adgangen til sshd-tjenesten. Desuden skal login-tjenesterne kontrolleres adgang.
Der er flere moduler, der begrænser adgangen og giver privilegier, men vi kan bruge modulet / lib / sikkerhed / pam_listfile.så som er ekstremt fleksibel og har mange funktioner og privilegier.
- Åbn og rediger filen / applikationen i vim-editoren for måltjenesten ved at gå ind i / etc / pam.d / mappe først.
Følgende regel skal tilføjes i begge filer:
auth krævet pam_listfile.så \ onerr = lykkes item = user sense = nægt fil = / etc / ssh / nægtede brugereHvor auth er godkendelsesmodulet, kræves kontrolflaget, pam_listfile.så modul giver afvisningsrettighederne til filerne, onerr = lykkes er modulargumentet, element = bruger er et andet modulargument, der specificerer filoversigter, og indholdet det skal kontrolleres for, sense = deny er et andet modulargument, der vil, hvis elementet er findes i en fil og fil = / etc / ssh / nægtede brugere, der angiver en filtype, der kun indeholder et element pr. linje.
- Opret derefter en anden fil / etc / ssh / nægtede brugere og tilføj rod som navnet i den. Det kan gøres ved at følge kommandoen: $ sudo vim / etc / ssh / benægtede brugere
- Gem derefter ændringerne, når du har føjet rodnavnet til det, og luk filen.
- Brug chmod commond til at ændre filens adgangstilstand. Syntaksen for chmod-kommandoen er
Her bruges referencerne til at specificere en liste med bogstaver, der angiver, hvem der skal give tilladelse.
For eksempel kan du her skrive kommandoen:
$ sudo chmod 600 / etc / ssh / nægtede brugereDette fungerer på den enkle måde. Du angiver de brugere, der nægtes adgang til din fil i filen / etc / ssh / nægtede brugere og indstiller adgangstilstand til filen ved hjælp af kommandoen chmod. Fra nu af, mens du prøver at få adgang til filen på grund af denne regel, vil PAM nægte alle de brugere, der er anført i filen / etc / ssh / nægtede brugere, adgang til filen.
Konklusion
PAM giver dynamisk godkendelsessupport til applikationer og tjenester i et Linux-operativsystem. Denne vejledning angiver et antal flag, der kan bruges til at bestemme resultatet af et moduls resultat. Det er praktisk og pålideligt. for brugere end den traditionelle adgangskode og godkendelsesmekanisme for brugernavne, og dermed bruges PAM ofte i mange sikrede systemer.