Подключаемые модули аутентификации

ПОДКЛЮЧАЕМЫЕ модули аутентификации (Pluggable Authentication Module — РАМ) не защитят систему после того, как она была взломана, но они могут помочь предотвратить сам взлом. Повышение безопасности достигается за счет чрезвычайно гибкой схемы аутентификации. В частности, в традиционной схеме пользователи UNIX аутентифицируют себя, предоставляя пароль в командной строке после ввода регистрационного имени в приглашении login. Во многих случаях, например при локальном доступе к рабочим станциям, этого оказывается вполне достаточно. Но иногда требуется дополнительная информация. Когда пользователь регистрируется в системе через внешний канал, такой как Internet, может понадобиться дополнить или поменять традиционный механизм аутентификации, скажем, перейти на одноразовые пароли. Все это реализуется с помощью модулей РАМ. Самое главное, они позволяют конфигурировать вычислительную среду в соответствии с требуемым уровнем безопасности.

Здесь описываются модули РАМ, предназначенные для Linux и входящие в дистрибутив Red Hat 7.21. Они располагают не только средствами аутентификации, но также журнальной регистрации и управления сеансами. Мы рассмотрим структуру модулей в целом и процесс их конфигурирования, познакомимся со многими из доступных модулей, приведем целый ряд примеров.

Поддержка модулей РАМ есть во всех новых дистрибутивах Linux. Если же по какойто причине она отсутствует, обратитесь по следующему адресу.

http://www.kernel.org/pub/linux/libs/pam/

Там можно найти также исходные коды и документацию.

РАМ — это центральный механизм аутентификации всех служб, в том числе команды login, утилит дистанционной регистрации (telnet, rlogin, rsh, ftp), протокола

Изначально модули РАМ были разработаны компанией Sun Microsystems.

РРР и команды su. Модули РАМ позволяют ограничить доступ к приложениям и время доступа к системе, реализовать альтернативные схемы аутентификации, осуществить расширенную регистрацию событий и многое другое. Они могут использоваться с любыми приложениями Linux.

Обзор

Выше представлена схема взаимодействия модулей РАМ с приложениями Linux. В основе лежит ядро Linux-PAM (библиотеки, находящиеся в каталоге /lib), которое отвечает за загрузку необходимых модулей на основании конфигурационных файлов. Общая последовательность действия такова.

1. Приложение, например login, делает первичное обращение к Linux-PAM.

2. Ядро Linux-PAM находит соответствующий конфигурационный файл в каталоге /etc/pam.d (или обращается к файлу /etc/раш. conf) и загружает из него список модулей, необходимых для обслуживания запроса.

3. После этого ядро Linux-PAM загружает модули в том порядке, в котором они перечислены в конфигурационном файле. Не все модули нужно загружать — это зависит от параметров конфигурации.

4. Некоторые модули организуют диалог с пользователем через вызывающее приложение. В ходе диалога обычно выдается приглашение на ввод различных параметров, например пароля. Если предоставленные пользователем данные подходят, управление возвращается ядру Linux-PAM, которое вызывает следующий модуль. В конечном итоге процедура аутентификации заканчивается успехом или неудачей. В случае неудачи выдается обобщенное сообщение об ошибке, которое, как правило, не раскрывает причину такого результата. Это своего рода защитная мера, чтобы злоумышленники, пытающиеся взломать систему, не смогли узнать ничего лишнего. В то же время все модули оснащены средствами журнальной регистрации, что позволяет системным администраторам выявлять источники проблем и попытки нарушения прав доступа.


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок