Руководство администратора Linux по безопасности




PAM


"Pluggable Authentication Modules для Linux набор общедоступных библиотек, которые дают возможность локальному администратору системы выбрать, как прикладные программы опознают пользователей. Но что это фактически означает? Например; берите программу ?login?, когда пользователь соединяется с tty (через последовательный порт или по сети) программа отвечает на обращение (getty для последовательных линий, telnet или SSH для сетевых подключений) и запускает программу ?login?. Она обычно запрашивает username, сопровождаемый паролем, который сравнивается с данными файла /etc/passwd. Это прекрасно, пока Вы не поставите новую систему удостоверения и захотите использовать это. Вы будете должны перетранслировать login (и любые другие приложения, которые будут делать удостоверение через новый метод) так, чтобы они поддерживали новую систему. Здесь возможны ошибки и досадные неожиданности.

PAM представляет промежуточный уровень между прикладной программой и фактическим опознавательным механизмом. Как только программа скомпилирована с поддержкой PAM, любые опознавательные методы, поддерживаемы PAM, будут пригодны для использования программой. В дополнение к этому PAM может обрабатывать данные сеанса, что другие механизмы делают не очень хорошо. Например, используя PAM Вы можете легко отвергать доступ систему нормальных пользователей между 6pm и 6am. По умолчанию Red Hat и новые версии Debian поддерживают PAM (см. ниже таблицу PAM?ified-систем). Таким образом на системе с PAM все, что нужно для затенения паролей: преобразовать файлы паролей и групп и добавить несколько строк в файлы настройки PAM. По существу, PAM дает Вам много гибкости для идентификации пользователя, и будет поддерживать другие свойства в будущем типа цифровых сигнатур. Этот вид гибкости будет требоваться, если Linux должен быть операционной системой класса предприятия. Дистрибутивы без поддержки PAM можно сделать таковыми, но требуется много усилий (Вы должны перетранслировать все Ваши программы с поддержкой PAM, установить PAM и так далее). PAM обычно приходит с полной документацией, и если Вы ищете хороший краткий обзор, Вы должны посетить




Содержание  Назад  Вперед