service-name	module-type	control-flag	module-path	args

module-type	control-flag	module-path	args

Sintaxe dos arquivos de configuração

O parâmetromodule-type está relacionado com o tipo de gerenciamento de tarefa realizado peloLinux-PAM, podendo ser: gerenciamento de autenticação (auth), gerenciamento de conta (account), gerenciamento de sessão (session) e gerenciamento de senha (password). 

account: realiza o gerenciamento não-autenticado contas. É tipicamente usado para permitir ou negar acesso a serviços de um usuário em uma data ou máquina específica, além de permitir controles diversos, como expiração de senha. 

auth: fornece dois aspectos para autenticação de usuário. Primeiramente, verifica se o usuário realmente é quem ele diz ser, instruindo a aplicação a solicitar a senha ou outra forma de identificação. Além disso ele pode configurar credenciais ou privilégios do usuário, como estabelecer a quais grupos o usuário pertence. 

password: é utilizado para alterar a senha (ou outro mecanismo de autenticação do usuário). Em geral é utilizado após o módulo auth, para exigir a senha antiga antes da nova. 

session: providencia o controle das ações realizadas antes e depois da conexão do usuário ao serviço disponibilizado pela aplicação PAM. Isso inclui informações relacionadas a montagens de diretórios, configuração de variáveis de ambiente, registro de atividades etc. 

O parâmetro control-flag indica o comportamento da API PAM no caso de sucesso ou falha no processo de autenticação. Há dois tipos de sintaxe para este campo, uma mais simples (amplamente usada) e outra mais complexa envolvendo pares de valor-ação. Neste artigo, usaremos a mais simples, que consiste da seguintes palavras-chave:

• required: indica que o sucesso do módulo é necessário ao sucesso da tarefa especificada pelo parâmetro module-type. A falha desse módulo não interromperá a checagem dos outros módulos de mesmo tipo.
• requisite: funciona de maneira similar à opção required. No entanto, em caso de falha, o controle é retornada automaticamente para a aplicação desconsiderando-se os outros módulos do mesmo tipo.
• sufficient: o sucesso de um módulo com a opção sufficient é suficiente para satisfazer a pilha de módulos destinada ao tipo de módulo onde é usado. O Linux-PAM retorna imediatamente o controle para a aplicação desconsiderando os demais módulos do mesmo tipo. A falha nesse módulo, entretanto, não implica em falha da pilha, a menos que seja o único.
• optional: o sucesso ou falha deste módulo somente é importante se ele é o único módulo na pilha associada com o serviço especificado.É utilizado em módulos que oferecem algum serviço ao usuário, mas que não são críticos ao processo de autenticação como um todo.

O parâmetro module-path, se iniciado com o caractere ‘/’, é o caminho completo do módulo que será carregado pelo PAM, caso contrário, o Linux-PAM considera o caminho relativo ao diretório /lib/security/ ou /lib64/security/. 

O parâmetro args consiste de uma lista de argumentos separados por espaço usados para modificar o comportamento de um dado módulo PAM. É específico de cada módulo

Como prática do nosso artigo, consideraremos a utilização do diretório /etc/pam.d/, do arquivo /etc/pam.d/system-auth e outros arquivos de configuração utilizados pelos módulos descritos no /etc/pam.d/system-auth. 

O objetivo deste arquivo é fornecer uma configuração comum para diversos serviços e daemons que utilizam o PAM. Normalmente, outros arquivos do PAM incluem o conteúdo do /etc/pam.d/system-auth. 

O arquivo /etc/pam.d/system-auth terá o seguinte conteúdo: 

O módulo pam_cracklib, do tipo password, é responsável por fazer uma checagem mínima de segurança e tamanho da uma senha sendo trocada. Ele utiliza a biblioteca CrackLib, uma versão resumida do Crack, um programa para ataques de dicionários. 

Ao usar essa biblioteca, o pam_cracklib dificulta a escolha de senhas baseadas em senhas de dicionários. O módulo pam_cracklib permite ainda que se defina o tamanho mínimo de uma senha e incentivar, por mecanismos de crédito, o uso de maiúsculas e minúsculas, bem como símbolos e números. 

O argumento retry=3 especifica que serão realizadas 3 tentativas antes de retorna um erro. 

O minlen=8 estipula o tamanho mínimo de 8 caracteres para a senha. 

O difok=2 estipula o mínimo de caracteres diferentes da senha antiga para a nova. 

O módulo pam_access é do tipo account e providencia controle de acesso ao login do usuário. É possível realizar o controle considerando os nomes de login, nomes de hosts ou domínios, endereços de internet ou rede, ou linhas de terminais. Por padrão, o arquivo /etc/security/access.conf é utilizado para armazenar as regras de gerenciamento. 

O código abaixo apresenta um exemplo auto-instrutivo de configuração do arquivo /etc/security/access.conf utilizado pelo pam_access.so. Os sinais ‘+’ e ‘-‘ garantem e negam acesso, respectivamente. 

Obs.: Os arquivos estão inteiramente comentados para que os testes sejam realizados por demanda. Desta forma, tem-se um melhor entendimento do que cada comando realiza e diminui a possibilidade de confusão no uso dos mesmos.

IMPORTANTE: Observe que, com esta configuração, estamos impedindo do usuário root acessar a partir da rede interna. Logo, caso você esteja realizando as configurações da rede interna, NÃO FECHE A CONEXÃO, pois ela não poderá ser restabelecida pelo root. Para evitar possíveis problemas com o PAM, sempre mantenha uma conexão de root reservada. Dessa forma será possível alterar as configurações caso haja algum erro impossibilitando realizar autenticação. 

O módulo pam_limits, do tipo session, é usado para limitar o uso de recursos da máquina. O módulo PAM configura um limite aos recursos do sistema que podem ser obtidos em uma seção de usuário. Por padrão, as informações necessárias ao módulo são carregadas a partir do arquivo /etc/security/limits.conf. 

No arquivo de configuração limits.conf, o campo domain pode ser um usuário, nomes de grupos (indicados por @) ou coringas (*, %). O campo type é usado como grau de flexibilidade de limite de recursos. O item especifica qual recurso está sendo limitado, abrangendo número máximo de arquivos abertos (nofile), tempo máximo de uso da CPU (cpu), número máximo de processos (nproc), número máximo de logins (maxlogins), prioridade com a qual são executadas as aplicações (priority), dentre outros. 

Um exemplo do arquivo de configuração /etc/security/limits.conf é listado abaixo: 

Outro módulo bem interessante é o pam_tally, do tipo auth e account. Ele mantém um contador de tentativas de acesso ao sistema. Pode ser reiniciado ao se obter sucesso na operação ou negar acesso se muitas tentativas falharem. 

O argumento deny=5 bloqueia o acesso se o contador de tentativas atingir 5. 

O unlock_time=21600 especifica que o acesso só será permitido novamente após 6 horas (21600 segundos). Por padrão, as informações de contadores de login ficam registradas no arquivo /var/log/faillog. 

Outro módulo importante, que também deve ser adicionado ao /etc/pam.d/system-auth é o pam_deny. Este módulo nega o acesso ao usuário, sendo utilizado para garantir que o usuário não consiga autenticar-se em caso de falha nos módulos anteriores. Dessa maneira, ele imprime uma segurança extra no esquema de autenticação. 

Além dos anteriores, o módulo pam_unix também deve ser adicionado ao system-auth. É o módulo padrão de autenticação Unix. Usualmente irá obter as informações dos arquivos /etc/passwd e /etc/shadow. 

O parâmetro nullok é usado para sobrescrever o comportamento padrão de bloquear usuários com password em branco. O parâmetro try_firs_pass faz com que o módulo tente usar a senha usada anteriormente em algum outro módulo. use_authtok indica ao pam_unix para utilizar o password configurado pelos módulos do tipo password da pilha de módulos. O parâmetro md5 é o algoritmo usado para criptografia do password. 

Para configurar adequadamente as variáveis de ambiente do usuário, deve ser adicionado o módulo pam_env. 

As variáveis de ambiente devem ser configuradas no arquivo/etc/security/pam_env.conf. 

O arquivo /etc/security/access.conf foi alterado conforme descrito anteriormente. Assim como os arquivos /etc/security/time.conf e /etc/security/limits.conf. Altere-os em sua máquina para que os testes funcionem perfeitamente.

Fonte : http://www.vivaolinux.com.br/artigo/Uma-introducao-ao-LinuxPAM?pagina=2

Acesso 28/06/2014