• No se han encontrado resultados

Curso avanzado de Linux

N/A
N/A
Info
Descargar
Protected

Academic year: 2022

Share "Curso avanzado de Linux"

Copied!
16
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 16 página )

Texto completo

(1)

Curso avanzado de Linux

Rafael Varela Pet

Unidad de Sistemas

Área de Tecnologías de la Información y Comunicaciones Universidad de Santiago de Compostela

(2)

Curso avanzado de Linux

Autentificación. PAM.

(3)

PAM

PAM: Pluggable Authentication Modules

Conjunto de librerías compartidas que permiten a las aplicaciones solicitar que un usuario se

autentifique

“De serie” en cualquier distribución Linux moderna

El administrador puede elegir cómo desea que las aplicaciones autentiquen a los usuarios

(4)

PAM

4 tareas de gestión:

autentificación: se establece que el usuario es quién dice ser.

account: gestión de tareas no asociadas a la

autentificación (restricciones de acceso en función de la hora, carga del sistema, etc.).

sesión: tareas a ejecutar antes o después de que se le conceda al usuario el acceso a un determinado

servicio

password: gestión del cambio del testigo del usuario

(5)

PAM

Configuración en /etc/pam.conf o /etc/pam.d/

(Preferiblemente en /etc/pam.d)

Librerías en /lib/security

Formato de los ficheros en pam.d:

tipo control camino_modulo parametros_modulo ...

Tipo. Se corresponde con las 4 tareas:

auth - session

account - password

(6)

PAM - Control

Bandera de control: determina como se va a reaccionar ante el fallo o éxito del módulo.

Tipos:

required; indica que es necesario que este módulo

tenga éxito, pero el fallo no será visible por el usuario hasta que se ejecuten los restantes módulos

requisite: igual que required, pero en este caso, si se produce un fallo, el control se devuelve

inmediatamente.

(7)

PAM - Control

Tipos (cont):

sufficient: Si ningún módulo anterior requerido ha fallado, no se llama a ningún módulo más.

optional: En general este módulo será ignorado, salvo que no haya una respuesta definitiva en el resto de los módulos.

include: incluye el contenido de otro fichero de configuración

(8)

PAM – Aplicaciones no configuradas

Configuración aplicada a las aplicaciones que no tienen su propio fichero

/etc/pam.d/other

Asegurar configuración:

auth required pam_deny.so auth required pam_warn.so account required pam_deny.so account required pam_warn.so password required pam_deny.so password required pam_warn.so session required pam_deny.so session required pam_warn.so

(9)

PAM – Ejemplos

/bin/login

Debe validar que un usuario es quien dice ser

Si la autenticación es correcta, entrega un servicio (una shell)

Configuración en /etc/pam.d/login

Autentificación clásica UNIX:

auth required pam_unix.so nullok_secure

Permitir la entrada sin contraseña. :

auth sufficient pam_permit.so

(10)

PAM - Ejemplos

Incorporar un nuevo mecanismo de autenticación

Ejemplo con usuarios en base de datos tipo Berkeley DB (.db) versión 4.3:

Instalar utilidades para Berkeley DB:

aptitude install db4.3_load

Crear fichero .db:

db4.3_load -T -t hash usuarios.db < usuarios.txt

Editar /etc/pam.d/login:

auth sufficient pam_userdb.so db=/tmp/usuarios

(11)

PAM - libpam-ssh

Permite disponer de 'single sign-on' en nuestras conexiones SSH cuando empleamos

autenticación de clave pública

Podemos desbloquear automáticamente nuestra identidad SSH

Si queremos hacerlo al iniciar sesión en GNOME empleando GDM:

aptitude install libpam-ssh

editar el fichero /etc/pam.d/gdm

(12)

PAM - libpam-ssh

Fichero /etc/pam.d/gdm:

auth requisite pam_nologin.so auth required pam_env.so

@include common-auth

@include pam-ssh-auth

@include common-account

session required pam_limits.so

@include common-session

@include pam-ssh-session

@include common-password

(13)

PAM - libpam-ssh

También podemos autenticamos con la clave de nuestra identidad SSH:

auth requisite pam_nologin.so auth required pam_env.so

@include pam-ssh-auth

@include common-auth

@include common-account

session required pam_limits.so

@include common-session

@include pam-ssh-session

@include common-password

(14)

PAM - libpam-mount

Monta un sistema de archivos para la sesión de un usuario

Editar fichero correspondiente en /etc/pam.d, añadiendo al final:

@include common-pammount

Posibilidades:

smbfs: monta recursos compartidos windows

sshfs, loopback

en general, cualquier sistema de archivos que el kernel sea capaz de usar

(15)

PAM - libpam-mount

Debemos ajustar el

fichero /etc/security/pam_mount.conf

Ejemplos:

Montar dispositivos loopback:

volume @@users auto - /home/&.img /mnt/&

loop,user,exec - -

Montar un sistema de archivos remoto sobre SSH:

volume @@users fuse -

"sshfs#&@aula00:" /mnt/& - - -

(16)

Referencias

libpam-doc:

file:///usr/share/doc/libpam-doc/html/pam.html

Referencias

Descargar ahora ( PDF - 16 página - 86.00 KB )

Documento similar

Curso Superior Linux. Nivel Avanzado (Online)

Entre el material entregado en este curso se adjunta un documento llamado Guía del Alumno dónde aparece un horario de tutorías telefónicas y una dirección de e-mail dónde podrá

Curso de SQL avanzado y PL/SQL básico para Oracle 10g (10.2) Manual del alumno

SELECT REPLACE ('HOLA MUNDO','HOLA', 'VAYA')-- devuelve VAYA MUNDO FROM

Curso online. Especialista TIC en Linux Básico + Linux Avanzado.

administración de un ordenador a través de un sistema operativo Linux, también presenta los entornos KDE y GNOME...

Curso avanzado de avicultura

No se sabe exactamente si los aves buscaron al hombre como medio de protección para defenderse de otros.. pecios que los hicieran daño, o si este las atrapó vivas y los obligó

07 Curso avanzado

A la hora de establecer la mejor estrategia en el control de plagas y enfermedades hay que tener en cuenta todos los métodos de control existentes para reducir la presión de

Linux Avanzado Tema 10: Almacenamiento Dinámico

Si está completamente seguro de que su dispositivo PCMCIA puede usar un driver existente (por ejemplo, si sabe que es compatible con otro chipset), usted puede

Curso Linux Admin. Procesos

Supongamos que queremos hacer un ls -R del directorio / este comando nos devuelve un archivo muy grande con todos los archivos y directorios que hay en el Sistema Operativo,

Manuales Programacion Linux

Linux también devuelve este error si se intenta tener un fichero tanto asociado en memoria con VM_DENY- WRITE como abierto