Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux 4: Manual de referencia - Muestras de archivos de configuraci�n PAM

16.4. Muestras de archivos de configuraci�n PAM

A continuaci�n una muestra de archivo de configuraci�n de la aplicaci�n PAM:

#%PAM-1.0
auth      required  pam_securetty.so
auth      required  pam_unix.so shadow nullok
auth      required  pam_nologin.so
account   required  pam_unix.so
password  required  pam_cracklib.so retry=3
password  required  pam_unix.so shadow nullok use_authtok
session   required  pam_unix.so

La primera l�nea es un comentario como lo es toda l�nea que inicie con el car�cter (#).

Las l�neas dos, tres y cuatro apilan tres m�dulos a usar para autentificaciones de inicio de sesi�n.

auth      required  pam_securetty.so

Este m�dulo se asegura de que si el usuario est� tratando de conectarse como root, el tty en el cual el usuario se est� conectando est� listado en el archivo /etc/securetty, si ese archivo existe.

auth      required  pam_unix.so shadow nullok

Este m�dulo le solicita al usuario por una contrase�a y luego verifica la contrase�a usando la informaci�n almacenada en /etc/passwd y, si existe, en /etc/shadow. El m�dulo pam_unix.so detecta autom�ticamente y utiliza contrase�as shadow para autenticar usuarios. Por favor consulte la Secci�n 6.5 para m�s informaci�n.

El argumento nullok instruye al m�dulo pam_unix.so a que permita una contrase�a en blanco.

auth      required  pam_nologin.so

Este es el paso final de la autenticaci�n. Verifica si el archivo /etc/nologin existe. Si nologin existe y el usuario no es root, la autenticaci�n falla.

NotaNota
 

En este ejemplo, los tres m�dulos auth, a�n si el primer m�dulo auth falla. Esto previene al usuario de saber a qu� nivel falla la autenticaci�n. Tal conocimiento en las manos de una persona mal intencionada le permitir�a violar el sistema f�cilmente.

account   required  pam_unix.so

Este m�dulo realiza cualquier verificaci�n de cuenta necesaria. Por ejemplo, si las contrase�as shadow han sido activadas, el componente de la cuenta del m�dulo pam_unix.so verificar� para ver si la cuenta ha expirado o si el usuario no ha cambiado la contrase�a dentro del per�odo de gracia otorgado.

password  required  pam_cracklib.so retry=3

Si la contrase�a ha expirado, el componente de la contrase�a del m�dulo pam_cracklib.so le pide por una nueva contrase�a. Luego eval�a la nueva contrase�a para ver si puede ser f�cilmente determinado por un programa que descubre las contrase�as basadas en diccionario. Si esto falla la primera vez, le d� al usuario dos oportunidades m�s de crear una contrase�a m�s robusta debido al argumento retry=3.

password  required  pam_unix.so shadow nullok use_authtok

Esta l�nea especifica que si el programa cambia la contrase�a del usuario, �ste deber�a usar el componente password del m�dulo pam_unix.so para realizarlo. Esto suceder� tan s�lo si la porci�n auth del m�dulo pam_unix.so ha determinado que la contrase�a necesita ser cambiada.

El argumento shadow le dice al m�dulo que cree contrase�as shadow cuando se actualiza la contrase�a del usuario.

El argumento nullok indica al m�dulo que permita al usuario cambiar su contrase�a desde una contrase�a en blanco, de lo contrario una contrase�a vac�a o en blanco es tratada como un bloqueo de cuenta.

El argumento final de esta l�nea, use_authtok, proporciona un buen ejemplo de la importancia del orden al apilar m�dulos PAM. Este argumento advierte al m�dulo a no solicitar al usuario una nueva contrase�a. En su lugar se acepta cualquier contrase�a que fu� registrada por un m�dulo de contrase�a anterior. De este modo, todas las nuevas contrase�as deben pasar el test de pam_cracklib.so para contrase�as seguras antes de ser aceptado.

session required pam_unix.so

La �ltima l�nea especifica que el componente de la sesi�n del m�dulo pam_unix.so gestionar� la sesi�n. Este m�dulo registra el nombre de usuario y el tipo de servicio a /var/log/messages al inicio y al final de cada sesi�n. Puede ser complementado apil�ndolo con otros m�dulos de sesi�n si necesita m�s funcionalidad.

El pr�ximo ejemplo de archivo de configuraci�n ilustra el apilamiento del m�dulo auth para el programa rlogin.

#%PAM-1.0
auth      required    pam_nologin.so
auth      required    pam_securetty.so
auth      required    pam_env.so
auth      sufficient  pam_rhosts_auth.so
auth      required    pam_stack.so service=system-auth

Primero, pam_nologin.so verifica para ver si /etc/nologin existe. Si lo hace, nadie puede conectarse excepto root.

auth      required    pam_securetty.so

El m�dulo pam_securetty.so previene al usuario root de conectarse en terminales inseguros. Esto desactiva efectivamente a todos los intentos de root rlogin debido a las limitaciones de seguridad de la aplicaci�n.

SugerenciaSugerencia
 

Para conectarse remotamente como usuario root, use OpenSSH. Para m�s informaci�n, consulte el Cap�tulo 20.

auth      required    pam_env.so

El m�dulo carga las variable de entorno especificadas en /etc/security/pam_env.conf.

auth      sufficient  pam_rhosts_auth.so

El m�dulo pam_rhosts_auth.so autentifica al usuario usando .rhosts en el directorio principal del usuario. Si tiene �xito, PAM considera inmediatamente la autenticaci�n como exitosa. Si falla pam_rhosts_auth.so en autenticar al usuario, el intento de autenticaci�n es ignorado.

auth      required    pam_stack.so service=system-auth

Si el m�dulo pam_rhosts_auth.so falla en autenticar al usuario, el m�dulo pam_stack.so realiza la autenticaci�n de contrase�as normal.

El argumento service=system-auth indica que el usuario debe pasar a trav�s de la configuraci�n PAM para la autenticaci�n del sistema como se encuentra en /etc/pam.d/system-auth.

SugerenciaSugerencia
 

Si no desea que se pida la contrase�a cuando el control securetty fracasa, cambie el m�dulo pam_securetty.so de required a requisite.

 
 
  Published under the terms of the GNU General Public License Design by Interspire