PAM Plugglable Authentication Modules



Documentos relacionados
Trivia. /etc/passwd. /etc/passwd. /etc/group. /etc/passwd. Exemplo: Gestão de Utilizadores em Linux

Manual do PolicyKit-kde. Daniel Nicoletti Tradução: Luiz Fernando Ranghetti

Sistema de Gestão de Freqüência. Manual do Usuário

GESTOR ONLINE Gestor Online Principais Recursos:

PAM (Autenticação) Programas, serviços e arquivos de configuração

Manual Administrador - Mídia System

SSE 3.0 Guia Rápido Parametrizando o SISTEMA DE SECRETARIA Nesta Edição Configurando a Conexão com o Banco de Dados

InfoMix Tecnologia. Soluções em Tecnologia da Informação. SYSFARM Sistema de Gerenciamento de Farmácias. Documento Requisitos Versão 1.

1 Instalação de Pacotes RPM no Metasys Contato...10

QUALIDATA Soluções em Informática. Módulo CIEE com convênio empresas

OBS: Se aparecer o aviso HIC SUNT DRACONES, clique em Serei cuidadoso, prometo!.

Entendendo as Permissões de Arquivos no GNU/Linux

Entendendo como funciona o NAT

Sistema de Controle de Solicitação de Desenvolvimento

Conteúdo 1 Comandos Básicos. Questão 1: Que comando permite encerrar o sistema definitivamente?

Sistemas Operacionais

Central Cliente Questor (CCQ) UTILIZANDO A CCQ - CENTRAL CLIENTE QUESTOR

Manual Captura S_Line

CONFIGURAÇÃO Cobian Backup Programa gratuito e de qualidade para realizar seus backups automáticos

Capítulo 5 Métodos de Defesa

IFPE. Disciplina: Sistemas Operacionais. Prof. Anderson Luiz Moreira

Manual Do Usuário Processo Aditivo de Prazo

Aplicação Prática de Lua para Web

GUIA DE UTILIZAÇÃO DO TOKEN

Elaborado por Marcos Matos Revisado por C. Douglas de Souza e Carina Gonçalves Aprovado por Paulo Bernardi

Manual Geral do OASIS

3UHSDUDQGRR64/([SUHVVSDUDWUDEDOKDUFRP&ODULRQ

Como configurar a Central de Alarme AMT 2018 E/AMT 2018 EG para enviar os eventos para apenas um sistema de monitoramento através de GPRS.

MANUAL DE UTILIZAÇÃO SISTEMA DE CADASTRO INTRANET

Sistema Ativo de Segurança Automotiva Manual de Utilização

Segurança de Acesso a Banco de Dados no MS SQL Server

Revisão: Introdução. - Integração com o AutoManager; 1 Atualização de versão do banco de dados PostgreSQL

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

AULA 7: Remote Desktop

Controle do Arquivo Técnico

SISTEMA DE PRODUTOS E SERVIÇOS CERTIFICADOS MÓDULO DO CERTIFICADOR

Gerencie a sala de espera e garanta a satisfação dos pacientes

Manual de operação. BS Ponto Versão 5.1

Manual Operacional SIGA

Projeto Integrador Projeto de Redes de Computadores

Acadêmicos: Luís Fernando Martins Nagata Gustavo Rezende Vinícius Rezende Santos

Integração com o Ambiente Virtual de Aprendizagem Moodle

Manual de Administração

CAPÍTULO 3 - TIPOS DE DADOS E IDENTIFICADORES

1) Como acessar a aplicação

3. No painel da direita, dê um clique com o botão direito do mouse em qualquer espaço livre (área em branco).

TCEnet. Manual Técnico. Responsável Operacional das Entidades

Padrão ix. Manual de Instalação do Q-Ware Server Versão

Administração de Sistemas Livres

Manual de Utilização Portal de Serviços do Inmetro nos Estados - PSIE

Aula 02. Introdução ao Linux

Sumário. Capítulo 2 Iniciando o TR Como efetuar o login... 8

Cálculo utilizando variáveis do tipo DATA

Manual de Instalação... 2 RECURSOS DESTE RELÓGIO REGISTRANDO O ACESSO Acesso através de cartão de código de barras:...

Agendamento para Importação de Notas Fiscais

Portal Sindical. Manual Operacional Empresas/Escritórios

OCOMON PRIMEIROS PASSOS

Gerenciamento de Contatos

U3 Sistemas Análise e Desenvolvimento de Softwares ===== Manual de Rede Interna ===== Manual. Rede Interna

Manual de usuário. do sistema multicálculo CotakWeb

Procedimentos para Reinstalação do Sisloc

MANUAL DO USUÁRIO SORE Sistema Online de Reservas de Equipamento. Toledo PR. Versão Atualização 26/01/2009 Depto de TI - FASUL Página 1

Login Integrado (Quiosque / Visão Descentralizada TOTVS 11)

Guia de usuário do portal de acesso SSH

Gerenciamento de Grupos e Usuários no Linux

BR DOT COM SISPON: MANUAL DO USUÁRIO

PAINEL GERENCIADOR DE S

Documentação. Programa de Evolução Contínua Versão 1.72

Para criar uma animação precisamos de uma imagem e que ela contenha alguns frames. O número de frames é uma escolha sua.

Manual do sistema SMARsa Web

Manual de digitação de contas Portal AFPERGS

Operações de Caixa. Versão 2.0. Manual destinado à implantadores, técnicos do suporte e usuários finais

Registro de Usuários MT Última Atualização 25/04/2012

NetEye Guia de Instalação

WF Processos. Manual de Instruções

Sumário. Tutorial: Editor de Exercícios Online para o professor

INSTALANDO SQL SERVER 2008

ADMINISTRAÇÃO DE SISTEMA OPERACIONAL DE REDE (AULA 4)

Engenharia de Software III

SIGECORS. Sistema de Gerenciamento de Resíduos Sólidos Industriais

CRIANDO BANCOS DE DADOS NO SQL SERVER 2008 R2 COM O SQL SERVER MANAGEMENT STUDIO

Sistema Futura Ponto. Aparecida Legori Futura Sistemas 27/05/2014

DarkStat para BrazilFW

Manual do Programa de Caixa1

TOTVS Série 1 Varejo (Simples) - Módulo e-commerce

MANUAL DO ADMINISTRADOR LOCAL. Entidade Municipal

MINISTÉRIO DO DESENVOLVIMENTO AGRÁRIO SUBSECRETARIA DE PLANEJAMENTO, ORÇAMENTO E ADMINISTRAÇÃO COORDENAÇÃO-GERAL DE MODERNIZAÇÃO E INFORMÁTICA

1 Essa é a tela de login do Sistema de Atendimento Online, siga o passo a passo abaixo.

Nome do Processo: Entrada de Pedidos com múltiplos endereços de entrega com NF-e Diferente

Procedimentos para Utilização do SAVI

Dicas Satux. Adicionando uma Impressora. Configurando o Primeiro acesso. Adicionar/Remover Programas. Como fazer gravações de CD/DVD

Organização do Curso. Instalação e Configuração. Módulo II. Pós Graduação em Projeto e Gerencia de Redes de Computadores

O Oficina Integrada é um sistema completo para o controle e gerenciamento de oficinas mecânicas. É o primeiro e único software que controla o fluxo

Manual de Instalação ( Client / Server ) Versão 1.0

Placa Acessório Modem Impacta

Integração Persona x Contábil

FTP Protocolo de Transferência de Arquivos

Transcrição:

PAM Plugglable Authentication Modules 1. O que é PAM? PAM é uma biblioteca que permite autenticar usuários em ambientes como o linux ou unix (Solaris, por exemplo). A necessidade da criação do PAM deveu-se ao problema encontrado quando era preciso fazer o login de um usuário, utilizando uma senha criptografada através de um acesso remoto. Além disso, como cada programa possuía seu método próprio de login, caso fosse necessário mudar o método de autenticação, os programas teriam que ser alterados para reconhecer este novo método. É neste momento, que a Sun Microsystems cria o PAM, um aplicativo centralizador desta tarefa de autenticação, logo não seria necessário cada programa se preocupar com o papel de autenticador, pois esta seria a tarefa do PAM e caso fosse mudado o critério de autenticação, por questões de segurança, somente seria necessário alterar este método no próprio PAM. Figura 1 - Esquema de funcionamento do PAM 1.1. Vantagem do PAM A principal vantagem do PAM, além de centralizador das funções de autenticação do login e senha, é que ele é capaz de selecionar, se configurado para tal, os programas aos quais o usuário que fez o login pode ou não acessar. Desta forma, um usuário que quisesse usufruir de aplicativos de áudio e vídeo, por exemplo, remotamente, poderia ser bloqueado o que não aconteceria caso ele estivesse utilizando estes aplicativos localmente.

Plugglable Authentication Modules 2 1.2. Linha de Configuração do Módulo PAM Os arquivos de configuração do PAM, no linux, normalmente estão localizados no diretório /etc/pam.d/. Nestes arquivos, a linha de configuração é dada como: service-name module-type control-flag module-path args 1.3. Nome do Serviço Service-name Está associado ao nome do serviço associado a esta entrada. Por exemplo, ftpd, rlogind, su, e outros. 1.4. Divisão dos Módulos Module-Type Como o próprio nome diz, o PAM (Plugglable Authentication Modules) é um conjunto de módulos, no qual cada um recebe uma ou mais funções especiais dentro do processo de autenticação. Essa função que cada módulo tem é determinado pelas divisões dos módulos do PAM, que são: AUTH, ACCOUNT, PASSWD, SESSION. AUTH A divisão AUTH trata da autenticação, seja por login/senha ou autenticação biométrica (voz, retina, impressão digital, por exemplo). ACCOUNT Esta divisão, terá o papel de autorização ou não autorização para o uso de programas com base no login, determinando assim, o usuário apto a utilizar aquele programa ou não. PASSWD A divisão PASSWD é responsável pela troca de senha.. SESSION Nesta divisão, determina-se qual será o ambiente do usuário com base no seu login. É importante salientar, neste momento, que o PAM é um conjunto de módulos e como tal, não precisa ter todos os módulos existentes e possíveis para funcionar, basta ter àqueles os quais o administrador acha necessário que se tenha, e que, alguns módulos possuem apenas uma das divisões acima citadas enquanto outros chegam a ter

Plugglable Authentication Modules 3 todas as divisões. 1.5. Controle de Bandeira Control-flag O control-flag é utilizado para indicar de que forma a biblioteca do PAM reagirá ao sucesso ou falha do módulo que está associado. Outra função que a control-flag pode executar é dando prioridades a cada módulo, visto que eles podem ser empilhados. Existem dois modos de sintaxe para o control-flag um mais antigo e tradicional que divide a sintaxe em: REQUIRED, REQUISITE, SUFFICIENT, OPTIONAL. O modo mais novo, mais elaborado e específico separa da seguinte forma: VALUE=ACTION. A parte ACTION é nomeada como: IGNORE, BAD, DIE, OK, DONE, RESET. 1.5.1 Controle de Sintaxe do Modo Tradicional REQUIRED Estabelece que: a falha do módulo utilizando a sintaxe REQUIRED, não será mostrada ao usuário até que todos os módulos estejam sendo executados. REQUISITE Parecido com o REQUIRED, porém no caso de falha, o controle é retornado direto a aplicação. Esta flag é muito utilizada para proteger um usuário que tente colocar sua senha quando o meio está inseguro. SUFFICIENT A falha deste módulo não implica em falha da autenticação como um todo. Se o módulo falhar, o próximo da classe é executado. Se não houver próximo, então a classe retorna com sucesso. Se, por outro lado, o módulo terminar com sucesso, então os módulos seguintes dessa classe não serão executados. Este parâmetro é bastante usado no caso de se usar LDAP para a autenticação, por exemplo, ou outra fonte de dados. OPTICIONAL Módulos marcados como optional praticamente não influenciam o resultado da autenticação como um todo. Eles terão alguma influência somente caso os módulos anteriores da mesma classe não apresentem um resultado definitivo.

Plugglable Authentication Modules 4 1.6. Exemplos de Módulos do PAM Module Path Existem muitos módulos disponíveis como: pam_access, pam_chroot, pam_cracklib, pam_deny, pam_env, pam_filter, pam_ftp.so, pam_group, pam_issue, pam_krb4, pam_lastlog, pam_limits, pam_listfile, pam_mail, pam_mkhomedir, pam_motd, pam_nologin, pam_permit, pam_pwdb, pam_radius, pam_rhosts_auth, pam_rootok, pam_securetty, pam_tally, pam_time, pam_unix, pam_userdb, pam_warn, pam_wheel. Porém, somente os módulos principais serão mostrados e explicados a seguir. Para saber mais sobre cada módulo visite a página: http://www.kernel.org/pub/linux/libs/pam/linux-pam-html/pam.html 1.6.1. Securetty Module - pam_securetty Module-Type: AUTH Autor: Elliot Lee Características: Este módulo simplesmente verifica em qual terminal o root está tentando fazer login, então a partir dele é possível restringir os locais em que o root pode fazer o login. Logo, a principal característica do pam_securetty é evitar o login do root em terminais inseguros. Vale ressaltar, que para o pam_securetty, nenhum terminal está liberado para o login, o root que deverá configurar este módulo para que ele possa fazer o login em outro terminal. 1.6.2. Password Database Module - pam_pwdb Module-Type: ACCOUNT, AUTH, PASSWD, SESSION Autores: Cristian Gafton e Andrew G. Morgan Característica: Este é o principal módulo do programa login, para tanto ele se encarrega de fazer a verificação do nome do usuário e senha, assim, autorizando o usuário ou não. Este módulo ainda aceita alguns parâmetros em sua configuração: shadow, nullok, md5, use_authtok. Shadow: permite o uso de senhas shadow ou convencionais. Nullok: permite o uso de senha em branco. Md5: usa criptografia md5 em vez do cript padrão. Use_authok: indica que o módulo deve usar a autenticação já fornecida para os módulos anteriores, para não interrogar o usuário novamente.

Plugglable Authentication Modules 5 1.6.3. No-login Module - pam_nologin Module-Type: ACCOUNT, AUTH Autor: Michael K. Johnson Característica: Este módulo é muito útil quanto se deseja fazer a manutenção do sistema. Com ele funcionando, não será permitido a nenhum usuário fazer o login com exceção do root. É importante citar que, usuários que já estiverem feito o login não serão afetados com a adição deste módulo. 1.6.4. Cracklib pluggable password strength-checker - pam_cracklib Module-Type: PASSWD Autor: Cristian Gafton Característica: Este módulo fará a verificação da fragilidade de uma nova senha. Para isto, ele avalia algumas características como: Polindrome: a nova senha é um palíndromo da antiga? Case change only: a nova senha é a antiga com apenas a diferença da caixa (maiúsculas e minúsculas)? Similar: a nova senha é similar a antiga? Ou seja, se existe caracteres repetidos. Ele estipula um número mínimo para o uso dos mesmos caracteres da senha antiga. Simple: a nova senha é muito pequena? Rotated: a nova senha é a antiga, porém invertida? Already used: a opção para nova senha já foi utilizada no passado? 1.6.5. Access Module - pam_access Module-Type: ACCOUNT Autor: Alexei Nogin Característica: Verifica quais usuários podem fazer login em qual local (terminal, remoto, domínio, etc.) 1.6.6. Resource Limits Module - pam_limits Module-Type: SESSION Autor: Cristian Gafton Característica: Este módulo limita o uso dos recursos como: uso da CPU, memória

Plugglable Authentication Modules 6 e outros. Sua linha de configuração de entrada é: <domain> <type> <item> <value> Domain: pode ser o nome de um usuário ou grupo. Type: pode ser de dois tipos: hard e soft. Para o hard o usuário não pode alterar os recursos pré-definidos, já para o modo soft o usuário é capaz de alterar os recursos, porém sem ultrapassar os limites do modo hard. Item: pode ser cada um dos seguintes: Core: tamanho máximo para arquivos core (KB) Data: tamanho máximo do seguimento de dados de um processo de memória. Fsize: tamanho máximo para novos arquivos. Memlock: tamanho máximo de memória que um processo pode bloquear na memória física. Nofile: quantidade máxima de arquivos abertos ao mesmo tempo. Rss: tamanho máximo que um processo pode manter na memória física. Stack: tamanho máximo da pilha. Cpu: tempo máximo do uso da CPU. Nproc: quantidade máxima de processos disponíveis para um único usuário. As: limite de espaço de endereçamento. Maxlogins: quantidade máxima de logins para este usuário ou grupo. Priority: a prioridade com que os processos deste usuário serão executados. Value: Determina o valor para a opção do Item.

Plugglable Authentication Modules 7 Figura 2- Esquema dos Principais Módulos do PAM 1.7. Argumentos - Args Os args, argumentos, fazem parte de uma lista de símbolos que podem ser colocados ao final de cada módulo, se desejado. Estes argumentos são semelhantes aos argumentos disponíveis em um comando do Linux. 2. Conclusão 3. Bibliografia http://www.revistadolinux.com.br http://www.kernel.org/pub/linux/libs/pam/linux-pam-html/pam.html

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback