Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux 4: Manual de referencia - Muestras de archivos de configuraci�n PAM

16.4. Muestras de archivos de configuraci�n PAM

A continuaci�n una muestra de archivo de configuraci�n de la aplicaci�n PAM:

#%PAM-1.0
auth      required  pam_securetty.so
auth      required  pam_unix.so shadow nullok
auth      required  pam_nologin.so
account   required  pam_unix.so
password  required  pam_cracklib.so retry=3
password  required  pam_unix.so shadow nullok use_authtok
session   required  pam_unix.so

La primera l�nea es un comentario como lo es toda l�nea que inicie con el car�cter (#).

Las l�neas dos, tres y cuatro apilan tres m�dulos a usar para autentificaciones de inicio de sesi�n.

auth      required  pam_securetty.so

Este m�dulo se asegura de que si el usuario est� tratando de conectarse como root, el tty en el cual el usuario se est� conectando est� listado en el archivo /etc/securetty, si ese archivo existe.

auth      required  pam_unix.so shadow nullok

Este m�dulo le solicita al usuario por una contrase�a y luego verifica la contrase�a usando la informaci�n almacenada en /etc/passwd y, si existe, en /etc/shadow. El m�dulo pam_unix.so detecta autom�ticamente y utiliza contrase�as shadow para autenticar usuarios. Por favor consulte la Secci�n 6.5 para m�s informaci�n.

El argumento nullok instruye al m�dulo pam_unix.so a que permita una contrase�a en blanco.

auth      required  pam_nologin.so

Este es el paso final de la autenticaci�n. Verifica si el archivo /etc/nologin existe. Si nologin existe y el usuario no es root, la autenticaci�n falla.

NotaNota
 

En este ejemplo, los tres m�dulos auth, a�n si el primer m�dulo auth falla. Esto previene al usuario de saber a qu� nivel falla la autenticaci�n. Tal conocimiento en las manos de una persona mal intencionada le permitir�a violar el sistema f�cilmente.

account   required  pam_unix.so

Este m�dulo realiza cualquier verificaci�n de cuenta necesaria. Por ejemplo, si las contrase�as shadow han sido activadas, el componente de la cuenta del m�dulo pam_unix.so verificar� para ver si la cuenta ha expirado o si el usuario no ha cambiado la contrase�a dentro del per�odo de gracia otorgado.

password  required  pam_cracklib.so retry=3

Si la contrase�a ha expirado, el componente de la contrase�a del m�dulo pam_cracklib.so le pide por una nueva contrase�a. Luego eval�a la nueva contrase�a para ver si puede ser f�cilmente determinado por un programa que descubre las contrase�as basadas en diccionario. Si esto falla la primera vez, le d� al usuario dos oportunidades m�s de crear una contrase�a m�s robusta debido al argumento retry=3.

password  required  pam_unix.so shadow nullok use_authtok

Esta l�nea especifica que si el programa cambia la contrase�a del usuario, �ste deber�a usar el componente password del m�dulo pam_unix.so para realizarlo. Esto suceder� tan s�lo si la porci�n auth del m�dulo pam_unix.so ha determinado que la contrase�a necesita ser cambiada.

El argumento shadow le dice al m�dulo que cree contrase�as shadow cuando se actualiza la contrase�a del usuario.

El argumento nullok indica al m�dulo que permita al usuario cambiar su contrase�a desde una contrase�a en blanco, de lo contrario una contrase�a vac�a o en blanco es tratada como un bloqueo de cuenta.

El argumento final de esta l�nea, use_authtok, proporciona un buen ejemplo de la importancia del orden al apilar m�dulos PAM. Este argumento advierte al m�dulo a no solicitar al usuario una nueva contrase�a. En su lugar se acepta cualquier contrase�a que fu� registrada por un m�dulo de contrase�a anterior. De este modo, todas las nuevas contrase�as deben pasar el test de pam_cracklib.so para contrase�as seguras antes de ser aceptado.

session required pam_unix.so

La �ltima l�nea especifica que el componente de la sesi�n del m�dulo pam_unix.so gestionar� la sesi�n. Este m�dulo registra el nombre de usuario y el tipo de servicio a /var/log/messages al inicio y al final de cada sesi�n. Puede ser complementado apil�ndolo con otros m�dulos de sesi�n si necesita m�s funcionalidad.

El pr�ximo ejemplo de archivo de configuraci�n ilustra el apilamiento del m�dulo auth para el programa rlogin.

#%PAM-1.0
auth      required    pam_nologin.so
auth      required    pam_securetty.so
auth      required    pam_env.so
auth      sufficient  pam_rhosts_auth.so
auth      required    pam_stack.so service=system-auth

Primero, pam_nologin.so verifica para ver si /etc/nologin existe. Si lo hace, nadie puede conectarse excepto root.

auth      required    pam_securetty.so

El m�dulo pam_securetty.so previene al usuario root de conectarse en terminales inseguros. Esto desactiva efectivamente a todos los intentos de root rlogin debido a las limitaciones de seguridad de la aplicaci�n.

SugerenciaSugerencia
 

Para conectarse remotamente como usuario root, use OpenSSH. Para m�s informaci�n, consulte el Cap�tulo 20.

auth      required    pam_env.so

El m�dulo carga las variable de entorno especificadas en /etc/security/pam_env.conf.

auth      sufficient  pam_rhosts_auth.so

El m�dulo pam_rhosts_auth.so autentifica al usuario usando .rhosts en el directorio principal del usuario. Si tiene �xito, PAM considera inmediatamente la autenticaci�n como exitosa. Si falla pam_rhosts_auth.so en autenticar al usuario, el intento de autenticaci�n es ignorado.

auth      required    pam_stack.so service=system-auth

Si el m�dulo pam_rhosts_auth.so falla en autenticar al usuario, el m�dulo pam_stack.so realiza la autenticaci�n de contrase�as normal.

El argumento service=system-auth indica que el usuario debe pasar a trav�s de la configuraci�n PAM para la autenticaci�n del sistema como se encuentra en /etc/pam.d/system-auth.

SugerenciaSugerencia
 

Si no desea que se pida la contrase�a cuando el control securetty fracasa, cambie el m�dulo pam_securetty.so de required a requisite.

 
 
  Published under the terms of the GNU General Public License Design by Interspire