Контроль доступа в стиле программы TCPWrappers
Реализует контроль доступа в стиле программы TCPWrappers, проверяя файлы /etc/hosts.allow и /etc/ hosts, deny. Доступен по адресу http: //web.tiscali.it/no_redirect_tiscali/ macchese/pam/pam_tcpd. html. Поддерживаемый тип — auth
Эти модули аналогичны модулю pam_pwdb, за исключением того, что аутентификациопная база данных хранится либо в файле /etc/shadow, либо на сервере NIS. Все модули (кроме pam_unix) являются символическими ссылками на pam_unix. Регистрирует в системе Syslog журнальное сообщение, в котором указывается имя пользователя и компьютера. Поддерживаемые типы — auth и password
Разрешает доступ к учетной записи root только членам группы wheel. Поддерживаемый тип — auth
Автоматически передает другим пользователям секретные ключи X Window System (например, при вызове команды su), благодаря чему пользователи, поменявшие свой эффективный идентификатор, могут запускать Х-приложения, не используя команду xhost. Поддерживаемый тип — session optional
РАМ-приложения
В дистрибутив Red Hat 7.2 входит большое число приложений, поддерживающих механизм РАМ (имеется в виду, что приложение располагает функциями обращения к модулям РАМ). Список приложений был приведен в листинге 5.1. Для каждого приложения есть man- или info-страницы с описанием используемых модулей. Прочтите документацию, прежде чем настраивать модули для конкретного приложения.
Замечания по поводу конфигурирования модулей
Во-первых, всегда создавайте копии существующих конфигурационных файлов каталога /etc/pam. d, прежде чем вносить в них какие-либо изменения. Это самое главное. Из-за неправильной конфигурации модулей РАМ можно перекрыть доступ в систему всем пользователям, даже root. Если же есть рабочие копии, всегда можно загрузиться в однопользовательском режиме и восстановить конфигурацию системы.
Во-вторых, сделайте каталог /etc/pam. d и вее содержащиеся в нем файлы доступными только суперпользователю. Никто другой не должен получать к ним доступ. Это можно сделать так:
chmod u=rwx /etc/pam.d
cd /etc/pam.d
chmod u=rw
В-третьих, тестируйте все конфигурационные настройки в безопасной среде, желательно изолированной от основной сети организации. Перепробуйте все возможные варианты доступа, прежде чем внедрять конфигурацию. Помните, что важен порядок расположения модулей в стеке. При другом порядке поведение системы может оказаться совсем иным. Модуль pam_unix обычно вызывается последним в стеке auth (за ним может следовать модуль pam_deny). Не забывайте и об управляющих флагах. Во многих случаях смена флага приводит к существенному изменению работы системы. То же самое справедливо и в отношении аргументов различных модулей. Учитывайте тот факт, что один и тот же модуль, но разного типа, поддерживает различные аргументы.
И последнее. Как и сама операционная система Linux, модули РАМ — свободно распространяемое программное обеспечение. Для них нет программ контроля качества. Чаще всего такой контроль осуществляете вы сами! Работа модуля может зависеть от версии самого модуля и операционной системы, аппаратной платформы и других факторов. Пользуйтесь ресурсами, перечисленными в приложении А, для поиска необходимой информации.
4/04/10 - 
