A keretek moduljai, részletesebben a modulokról - a fegyveres erők mobil rendszeréről (MSVS)

A pam_access.so modul az /etc/security/access.conf fájl alapján engedélyezi / tiltja a hozzáférést. A fájl sorai a következő formátumban vannak:

jogok: felhasználók: ahonnan

- jogok - vagy + (engedje), vagy - (tiltja)

- felhasználók - ALL, felhasználói név vagy felhasználó @ csomópont, ahol a csomópont megfelel a helyi gép nevének, egyébként a bejegyzést figyelmen kívül hagyja.

A pam_cracklib.so modul ellenőrzi a szótárhoz tartozó jelszavakat. Úgy tervezték, hogy teszteljen egy új jelszót, és megakadályozza a könnyen repedt jelszavak használatát a rendszerben, amelyek gyakori szavak, kettős karaktereket tartalmazó jelszavak és túl rövid jelszó. Vannak választható paraméterek: debug, type = and retry =. A hibakeresési paraméter magában foglalja a hibakeresési információknak a naplófájlba való felvételét. A típusparaméter, amelyet egy karakterlánc követ, megváltoztatja az alapértelmezett New Unix jelszót: a Unix szót a megadott karakterláncba. Az újrapróbálkozó paraméter határozza meg a felhasználó által megadott azon kísérletek számát, amelyek megadják a jelszót, amelynek kimerülése hibát (alapértelmezés szerint egy kísérlet).

Lista 1.8. A /etc/pam.d/other fájl

auth szükséges pam_deny.so

auth szükséges pam_warn.so

számla szükséges pam_deny.so

jelszó szükséges pam_deny.so

jelszó szükséges pam_warn.so

A munkamenet kötelező pam_deny.so

A pam_dialup.so modul ellenőrzi, hogy meg kell-e adni egy jelszót a távoli terminál vagy terminálok eléréséhez az / etc / security / ttys.dialup fájl segítségével. A modul nem csak a ttyS-re vonatkozik, hanem általában minden tty-terminálra. Ha jelszó szükséges, ellenőrizni fogja az / etc / security / passwd.dialup fájlban megadott értéket. A passwd.dialup fájl módosításait a dpasswd program végzi.

A pam_group.so modul ellenőrzéseket végez az /etc/security/group.conf fájl tartalmának megfelelően. Ez a fájl felsorolja azokat a csoportokat, amelyek bizonyos feltételek teljesülésekor a fájlban megadott felhasználó tagjává válhatnak.

A pam_lastlog.so modul írja az utolsóként megadott információkat arról, hogy mikor és mikor jelentkezett be a rendszerbe a felhasználó. Ez a modul jellemzően a munkamenet típusával és az opcionális zászlóval van jelölve.

A pam_limits.so modul lehetővé teszi, hogy különböző korlátozásokat írjon elő a rendszerbe bejelentkezett felhasználók számára. Ezek a korlátozások nem vonatkoznak a root felhasználókra (vagy bármely más felhasználóra, amelynek null azonosítója van). A korlátozások a bejelentkezési szintre vannak beállítva, és nem globálisak vagy állandóak, csak ugyanazon a bejáraton belül működnek.

A pam_lastfile.so modul elfogad egy elemet, összehasonlítja azt a fájl listájával, és az összehasonlítás eredményei alapján adja vissza az SUCCESS vagy FAILURE értéket. A modul paraméterei a következők:

- item = [felhasználói terminál távoli csomópont remote_user | csoport | héj]

- sense = [engedje | megtagadja] (a visszatérés állapota, ha a bejegyzés szerepel a listán, ellenkező esetben a megadottval ellentétes állapotot visszaküldik)

filé = / teljes / elérési út / és / fájlnév - onerr = [sikeres] hiba (melyik állapotot vissza kell adni hiba esetén)

- arr1u = [user | @ előadó] ​​(határozza meg a felhasználó vagy csoport, amelyekkel kapcsolatban korlátozások vonatkoznak Logikus, hogy rögzítse a típusú item = csak. [Terminal | udalennyy_uzel | héj], a rekord típusú item = [user | udalennyy_polzovatel | csoport] figyelmen kívül hagyja)

A pam_permit.so modul opcionális a pam_deny.so modulhoz. Mindig a SUCCESS-ot adja vissza. A modul által átadott paramétereket figyelmen kívül hagyja.

A pam_pwdb.so modul felületet biztosít a passwd és az árnyékfájlokhoz. A következő paraméterek lehetségesek:

- hibakeresés - írjon hibakeresési információkat egy naplófájlba;

- audit - további hibakeresési információk azok számára, akik nem elégednek meg a szokásos hibakeresési információkkal;

- use_first_pass - soha ne kérdezd meg a felhasználót jelszó megadásához, hanem vegye be az előző stack modulokból;

- try_first_pass - próbálja meg megkapni a korábbi modulok jelszavát, hiba esetén kérje meg a felhasználót;

- use_authtok - visszatérési értéke HIBA (HIBA A) ha pam_authtok nem lett beállítva, nem igényelnek jelszót a felhasználó, hanem, hogy ez a korábbi verem modulok (csak jelszó típusú modulok a stack);

- not_set_pass - ne állítson be jelszót a modulról jelszóként a következő modulokhoz;

- árnyék - támogatja a shadow jelszavakat;

- unix - jelszavakat a / etc / passwd;

- md5 - az md5 jelszavakat a következő jelszóváltáskor használhatja;

- bigcrypt - a következő jelszóváltás használatakor használja a DEC C2 jelszavakat;

A pam_rhosts_auth.so modul engedélyezi / tiltja a .rhosts vagy a hosts.equiv fájlok használatát. Ezenkívül engedélyezi / tiltja a "veszélyes" bejegyzések használatát ezeken a fájlokban. A modul paraméterei a következők:

- no_hosts_equiv - figyelmen kívül hagyja a /etc/hosts.equiv fájlt;

- no_rhosts - figyelmen kívül hagyja az / etc / rhosts fájlt vagy

- debug - log hibakeresési információ;

- nowarn - ne jelenjenek meg figyelmeztetéseket;

- elnyomja - ne küldjön semmilyen üzenetet;

- promiscuous - engedélyezze a "+" helyettesítő karakter használatát bármely mezőben.

A pam_rootok.so modul visszaadja az SUCCESS értéket minden olyan felhasználó számára, amelynek null azonosítója van. Ha elegendő jelzéssel van jelölve, ez a modul lehetővé teszi a szolgáltatás elérését jelszó megadása nélkül. A modul paramétere csak egy: hibakeresés.

A pam_shells.so modul visszaadja az SUCCESS parancsot, ha az / etc / passwd fájlban megadott felhasználói shell az / etc / shells fájlból a shell listában jelen van. Ha az / etc / passwd semmilyen shellet nem rendel a felhasználóhoz, akkor a / bin / sh elindul. Ha az / etc / passwd fájl a / etc / shells listán nem szereplő felhasználó shellét adja meg, akkor a modul visszaadja a FAILURE értéket. Az / etc / shell fájlba való íráshoz való jog csak superuser lehet.

A pam_stress.so modul a jelszavak kezelésére szolgál. Nagyon sok paramétere van, beleértve a változatlan hibakeresést is, de általában csak érdeklődésre számot tartó két érdekes:

- rootok - engedélyezze a felettes felhasználók számára a felhasználói jelszó megváltoztatását a régi jelszó beírása nélkül;

- lejárt - ezzel a paraméterrel a modul végrehajtásra kerül, mintha a felhasználói jelszó lejárt volna.

További modul opció lehetővé teszi, hogy kapcsolja ki, hogy e két mód, használja a jelszó másik modult, vagy adja át a jelszót egy másik modul, és így tovább. N. Itt, azt nem veszi figyelembe az összes paramétert a modul, így ha van egy szükség a speciális funkciók a készülék, olvassa el a leírás a modul dokumentációjában.

- onerr = [succeed | fail] - mi a teendő, ha hiba történik, például nem tudtam megnyitni a fájlt;

- filé = / teljes / elérési út / és / fájlnév - ha nincs, akkor az alapértelmezett fájlt használják. Az alábbi paraméter csak az auth:

- no_magic_root - Lehetővé teszi a superuser próbálkozások számának számlálását (alapértelmezés szerint nem fut). Hasznos, ha a rendszerbe való belépés engedélyezett telneten keresztül. Az alábbi paraméterek csak a fióktípus számára értelmezhetők:

- deny = n - megtagadja a hozzáférést n próbálkozások után. Ezzel a paraméterrel a reset / no_reset modul viselkedése a no_reset-ből megváltozott, alaphelyzetbe állítva. Ez minden felhasználó esetében a root (UID 0) kivételével történik, hacsak nem használja a no_magic_root paramétert;

- no_magic_root - ne hagyja figyelmen kívül a deny paramétert a gyökér felhasználó hozzáférési kísérleteire. Ha a deny = paraméterrel együtt használjuk (lásd korábban), akkor a gyökér felhasználó alapértelmezés szerint visszaállítja a viselkedést, mint minden más felhasználó esetében;

- reset - visszaállítja a sikeres bejelentkezés kísérleteinek számát;

- no_reset - ne állítsa vissza a sikeres bejelentkezés kísérletének számát; alapértelmezés szerint, kivéve ha a deny = paraméter meg van adva.

A pam_time.so modul lehetővé teszi a hozzáférést a szolgáltatáshoz az idő függvényében. A konfiguráláshoz szükséges utasítások a / etc / security / time.conf fájlban találhatók. Nincsenek paraméterek: minden a konfigurációs fájlban van megadva.

A pam_warn.so modul üzenetet küld a syslog hívására. A paraméterek nem.

A pam_wheel.so modul csak a kerékcsoport tagjai számára képes feleslegessé válni. A kerékcsoport olyan speciális rendszercsoport, amelynek tagjai nagyobb jogosultsággal rendelkeznek, mint a rendszeres felhasználók, de kisebbek, mint a felettes. A jelenléte lehetővé teszi a rendszerfelhasználók számának csökkentését superuser jogosultságokkal, így azok a kerékcsoport tagjaivá válnak, és ezzel növeli a rendszer biztonságát. Ha a rendszergazda megadhatja, akkor a rendszer csak olyan terminál, akkor a modul annak érdekében, hogy a felhasználó rendelkezésére álló telnet munka rendszergazda jogosultságokkal, megtagadva tőlük, ha nem tartozik a csoporthoz wheelModul használja az alábbi paraméterekkel:

- hibakeresés - naplózási hibakeresési információ;

- use_uid - a tagság definíciója az aktuális felhasználói azonosító alapján, és nem az, ami be lett állítva a bejelentkezéskor;

- bizalom - ha a felhasználó a kerékcsoporthoz tartozik, akkor adja vissza a SUCCESS-ot, nem IGNORE;

- tagadja - megváltoztatja az eljárás jelentését az ellenkezőjére (a visszatérés NEM JÓ). A group = együttes használatával megtagadhatja a hozzáférést a csoport tagjaihoz.

Az / etc / security könyvtár közvetlenül kapcsolódik az /etc/pam.d fájlhoz, mert tartalmazza a különböző PAM modulok konfigurációs fájljait, amelyeket a /etc/pam.d fájlokban a fájlok tartalmaznak.