Linux-ൽ PAM എങ്ങനെ കോൺഫിഗർ ചെയ്യുകയും ഉപയോഗിക്കുകയും ചെയ്യാം

ഈ മാനേജ്മെന്റ് ഗ്രൂപ്പ് തരങ്ങളുമായി ഒരു മൊഡ്യൂൾ ബന്ധപ്പെട്ടിരിക്കുന്നു:

• അക്കൗണ്ട്: അക്കൗണ്ട് സ്ഥിരീകരണത്തിനുള്ള സേവനങ്ങൾ നൽകുക: ഉപയോക്താവിന്റെ പാസ്uവേഡ് കാലഹരണപ്പെട്ടോ?; ഈ ഉപയോക്താവിന് അഭ്യർത്ഥിച്ച സേവനത്തിലേക്ക് പ്രവേശനം അനുവദിച്ചിട്ടുണ്ടോ?.
• ആധികാരികത: ഒരു ഉപയോക്താവിനെ പ്രാമാണീകരിക്കുകയും ഉപയോക്തൃ ക്രെഡൻഷ്യലുകൾ സജ്ജീകരിക്കുകയും ചെയ്യുക.
• പാസ്uവേഡ്: ഉപയോക്തൃ പാസ്uവേഡുകൾ അപ്uഡേറ്റ് ചെയ്യുന്നതിനും പ്രാമാണീകരണ മൊഡ്യൂളുകൾക്കൊപ്പം പ്രവർത്തിക്കുന്നതിനും ഉത്തരവാദിത്തമുണ്ട്.
• സെഷൻ: ഒരു സെഷന്റെ തുടക്കത്തിലും സെഷന്റെ അവസാനത്തിലും നടത്തിയ പ്രവർത്തനങ്ങൾ നിയന്ത്രിക്കുക.

PAM ലോഡ് ചെയ്യാവുന്ന ഒബ്uജക്റ്റ് ഫയലുകൾ (മൊഡ്യൂളുകൾ) ഇനിപ്പറയുന്ന ഡയറക്uടറിയിലാണ് സ്ഥിതി ചെയ്യുന്നത്: ആർക്കിടെക്ചറിനെ ആശ്രയിച്ച് /lib/security/ അല്ലെങ്കിൽ /lib64/security.

പിന്തുണയ്uക്കുന്ന നിയന്ത്രണ-ഫ്ലാഗുകൾ ഇവയാണ്:

• ആവശ്യകത: പരാജയം ആദ്യ മൊഡ്യൂൾ പരാജയത്തിന്റെ സ്വഭാവം സൂചിപ്പിക്കുന്ന അപ്ലിക്കേഷനിലേക്ക് തൽക്ഷണം നിയന്ത്രണം നൽകുന്നു.
• ആവശ്യമാണ്: ലിബ്പാമിന് വിജയിക്കാൻ ഈ മൊഡ്യൂളുകളെല്ലാം ആവശ്യമാണ്.
• മതി: മുമ്പുള്ള എല്ലാ മൊഡ്യൂളുകളും വിജയിച്ചതിനാൽ, ഈ മൊഡ്യൂളിന്റെ വിജയം ആപ്ലിക്കേഷനിലേക്ക് ഉടനടി വിജയകരമായ തിരിച്ചുവരവിലേക്ക് നയിക്കുന്നു (ഈ മൊഡ്യൂളിന്റെ പരാജയം അവഗണിക്കപ്പെടുന്നു).
• ഓപ്ഷണൽ: ഈ മൊഡ്യൂളിന്റെ വിജയമോ പരാജയമോ സാധാരണയായി രേഖപ്പെടുത്തിയിട്ടില്ല.

മുകളിലുള്ള കീവേഡുകൾക്ക് പുറമേ, മറ്റ് രണ്ട് സാധുവായ നിയന്ത്രണ ഫ്ലാഗുകളും ഉണ്ട്:

• ഉൾപ്പെടുത്തുക, സബ്uസ്റ്റാക്ക് ചെയ്യുക: ഈ നിയന്ത്രണത്തിലേക്കുള്ള ആർഗ്യുമെന്റായി വ്യക്തമാക്കിയ കോൺഫിഗറേഷൻ ഫയലിൽ നിന്ന് നൽകിയിരിക്കുന്ന തരത്തിലുള്ള എല്ലാ വരികളും ഉൾപ്പെടുത്തുക.

PAM വഴി SSH സേവനത്തിലേക്കുള്ള റൂട്ട് ആക്uസസ് എങ്ങനെ നിയന്ത്രിക്കാം

ഒരു ഉദാഹരണമായി, SSH വഴിയും ലോഗിൻ പ്രോഗ്രാമുകൾ വഴിയും ഒരു സിസ്റ്റത്തിലേക്കുള്ള റൂട്ട് യൂസർ ആക്സസ് അപ്രാപ്തമാക്കുന്നതിന് PAM എങ്ങനെ ഉപയോഗിക്കാമെന്ന് ഞങ്ങൾ ക്രമീകരിക്കും. ഇവിടെ, ലോഗിൻ, sshd സേവനങ്ങളിലേക്കുള്ള ആക്uസസ് നിയന്ത്രിച്ചുകൊണ്ട് ഒരു സിസ്റ്റത്തിലേക്കുള്ള റൂട്ട് യൂസർ ആക്uസസ് അപ്രാപ്uതമാക്കാൻ ഞങ്ങൾ ആഗ്രഹിക്കുന്നു.

നിർദ്ദിഷ്uട അക്കൗണ്ടുകളുടെ പ്രത്യേകാവകാശങ്ങൾ പരിമിതപ്പെടുത്തുന്നതിന് മികച്ച വഴക്കം നൽകുന്ന /lib/security/pam_listfile.so മൊഡ്യൂൾ നമുക്ക് ഉപയോഗിക്കാം. കാണിച്ചിരിക്കുന്നതുപോലെ /etc/pam.d/ ഡയറക്uടറിയിൽ ടാർഗെറ്റ് സേവനത്തിനായി ഫയൽ തുറന്ന് എഡിറ്റ് ചെയ്യുക.

$ sudo vim /etc/pam.d/sshd
OR
$ sudo vim /etc/pam.d/login

രണ്ട് ഫയലുകളിലും ഈ നിയമം ചേർക്കുക.

auth    required       pam_listfile.so \
        onerr=succeed  item=user  sense=deny  file=/etc/ssh/deniedusers

മുകളിലുള്ള നിയമത്തിലെ ടോക്കണുകൾ വിശദീകരിക്കുന്നു:

• auth: മൊഡ്യൂൾ തരം (അല്ലെങ്കിൽ സന്ദർഭം) ആണ്.
• ആവശ്യമാണ്: ഒരു കൺട്രോൾ ഫ്ലാഗ് ആണ്, മൊഡ്യൂൾ ഉപയോഗിക്കുകയാണെങ്കിൽ, അത് പാസാകണം അല്ലെങ്കിൽ മറ്റ് മൊഡ്യൂളുകളുടെ നില പരിഗണിക്കാതെ മൊത്തത്തിലുള്ള ഫലം പരാജയപ്പെടും.
• pam_listfile.so: ഒരു അനിയന്ത്രിതമായ ഫയലിനെ അടിസ്ഥാനമാക്കി സേവനങ്ങൾ നിഷേധിക്കുന്നതിനോ അനുവദിക്കുന്നതിനോ ഉള്ള ഒരു മാർഗ്ഗം നൽകുന്ന ഒരു മൊഡ്യൂളാണ്.
• onerr=succeed: മൊഡ്യൂൾ ആർഗ്യുമെന്റ്.
• item=user: ഫയലിൽ ലിസ്uറ്റ് ചെയ്uതിരിക്കുന്നതും പരിശോധിക്കേണ്ടതുമായ മൊഡ്യൂൾ ആർഗ്യുമെന്റ്.
• sense=deny: മൊഡ്യൂൾ ആർഗ്യുമെന്റ് ഫയലിൽ കണ്ടെത്തിയാൽ എടുക്കേണ്ട നടപടി വ്യക്തമാക്കുന്നു, ഫയലിൽ ഇനം കണ്ടെത്തിയില്ലെങ്കിൽ, വിപരീത പ്രവർത്തനം അഭ്യർത്ഥിക്കുന്നു.
• file=/etc/ssh/deniedusers: ഒരു വരിയിൽ ഒരു ഇനം അടങ്ങിയിരിക്കുന്ന ഫയൽ വ്യക്തമാക്കുന്ന മൊഡ്യൂൾ ആർഗ്യുമെന്റ്.

അടുത്തതായി, നമ്മൾ /etc/ssh/deniedusers എന്ന ഫയൽ സൃഷ്ടിക്കുകയും അതിൽ റൂട്ട് എന്ന പേര് ചേർക്കുകയും വേണം:

$ sudo vim /etc/ssh/deniedusers

മാറ്റങ്ങൾ സംരക്ഷിച്ച് ഫയൽ അടയ്ക്കുക, തുടർന്ന് അതിൽ ആവശ്യമായ അനുമതികൾ സജ്ജമാക്കുക:

$ sudo chmod 600 /etc/ssh/deniedusers

ഇനി മുതൽ, മുകളിൽ പറഞ്ഞ നിയമം PAM-നോട് /etc/ssh/deniedusers ഫയലുമായി ബന്ധപ്പെടാനും ലിസ്റ്റുചെയ്ത ഏതൊരു ഉപയോക്താവിനും SSH-ലേക്കുള്ള ആക്uസസ് നിരസിക്കാനും ലോഗിൻ ചെയ്യാനും പറയും.

എങ്ങനെ ലിനക്സിൽ വിപുലമായ PAM കോൺഫിഗർ ചെയ്യാം

കൂടുതൽ സങ്കീർണ്ണമായ PAM നിയമങ്ങൾ എഴുതുന്നതിന്, നിങ്ങൾക്ക് ഇനിപ്പറയുന്ന ഫോമിൽ സാധുവായ നിയന്ത്രണ-ഫ്ലാഗുകൾ ഉപയോഗിക്കാം:

type [value1=action1 value2=action2 …] module module-arguments

വരി നിർവചിച്ചിരിക്കുന്ന മൊഡ്യൂളിൽ ഉൾപ്പെടുത്തിയിരിക്കുന്ന ഫംഗ്uഷനിൽ നിന്നുള്ള റിട്ടേൺ കോഡുമായി valueN പൊരുത്തപ്പെടുന്നിടത്ത്. ഓൺ-ലൈൻ PAM അഡ്മിനിസ്ട്രേറ്ററുടെ ഗൈഡിൽ നിന്ന് പിന്തുണയ്ക്കുന്ന മൂല്യങ്ങൾ നിങ്ങൾക്ക് കണ്ടെത്താനാകും. ഒരു പ്രത്യേക മൂല്യം ഡിഫോൾട്ടാണ്, ഇത് എല്ലാ valueN-കളും വ്യക്തമായി പരാമർശിക്കാത്തതിനെ സൂചിപ്പിക്കുന്നു.

ആക്ഷൻN-ന് ഇനിപ്പറയുന്ന ഫോമുകളിൽ ഒന്ന് എടുക്കാം:

• അവഗണിക്കുക: മൊഡ്യൂളുകളുടെ ഒരു കൂട്ടത്തോടൊപ്പമാണ് ഈ പ്രവർത്തനം ഉപയോഗിക്കുന്നതെങ്കിൽ, മൊഡ്യൂളിന്റെ റിട്ടേൺ സ്റ്റാറ്റസ് ആപ്ലിക്കേഷൻ നേടുന്ന റിട്ടേൺ കോഡിന് സംഭാവന നൽകില്ല.
• മോശം: മൊഡ്യൂൾ പരാജയപ്പെടുന്നതിന്റെ സൂചനയായി റിട്ടേൺ കോഡ് കരുതണമെന്ന് സൂചിപ്പിക്കുന്നു. ഈ മൊഡ്യൂൾ പരാജയപ്പെടുന്ന സ്റ്റാക്കിലെ ആദ്യത്തേതാണെങ്കിൽ, അതിന്റെ സ്റ്റാറ്റസ് മൂല്യം മുഴുവൻ സ്റ്റാക്കിനും ഉപയോഗിക്കും.
• die: മോശമായതിന് തുല്യമാണ്, എന്നാൽ മൊഡ്യൂൾ സ്റ്റാക്ക് അവസാനിപ്പിച്ചേക്കാം, PAM ഉടൻ തന്നെ ആപ്ലിക്കേഷനിലേക്ക് മടങ്ങുന്നു.
• ശരി: മൊഡ്യൂളുകളുടെ മുഴുവൻ സ്റ്റാക്കിന്റെ റിട്ടേൺ കോഡിലേക്ക് ഈ റിട്ടേൺ കോഡ് നേരിട്ട് സംഭാവന ചെയ്യണമെന്ന് സിസ്റ്റം അഡ്uമിനിസ്uട്രേറ്റർ കരുതുന്നതായി ഇത് PAM-ന് നിർദ്ദേശിക്കുന്നു.
• ചെയ്uതു: ശരി എന്നതിന് തുല്യമാണ്, എന്നാൽ മൊഡ്യൂൾ സ്റ്റാക്ക് അവസാനിപ്പിച്ചേക്കാം, ഉടൻ തന്നെ ആപ്ലിക്കേഷനിലേക്ക് മടങ്ങുന്ന PAM.
• N (ഒരു ഒപ്പിടാത്ത പൂർണ്ണസംഖ്യ): ശരി എന്നതിന് തുല്യമാണ്, എന്നാൽ സ്റ്റാക്കിലെ അടുത്ത N മൊഡ്യൂളുകൾക്ക് മുകളിലൂടെ പോകാം.
• പുനഃസജ്ജമാക്കുക: ഈ പ്രവർത്തനം മൊഡ്യൂൾ സ്റ്റാക്കിന്റെ അവസ്ഥയുടെ എല്ലാ മെമ്മറിയും മായ്uക്കുകയും അടുത്ത സ്റ്റാക്ക് ചെയ്uത മൊഡ്യൂൾ ഉപയോഗിച്ച് പുനരാരംഭിക്കുകയും ചെയ്യുന്നു.

നാല് കീവേഡുകളിൽ ഓരോന്നും: ആവശ്യമാണ്; ആവശ്യമുള്ളത്; മതി; കൂടാതെ ഓപ്ഷണൽ, [...] വാക്യഘടനയുടെ അടിസ്ഥാനത്തിൽ തുല്യമായ ഒരു പദപ്രയോഗം ഉണ്ടായിരിക്കും, അത് കൂടുതൽ സങ്കീർണ്ണമായ നിയമങ്ങൾ എഴുതാൻ നിങ്ങളെ അനുവദിക്കുന്നു, അവ ഇവയാണ്:

• ആവശ്യമാണ്: [success=ok new_authtok_reqd=okignign=ignore default=bad]
• ആവശ്യകത: [success=ok new_authtok_reqd=okignign=ignore default=die]
• മതി: [success=done new_authtok_reqd=done default=ignore]
• ഓപ്ഷണൽ: [success=ok new_authtok_reqd=ok default=ignore]

ഒരു ആധുനിക CentOS 7 സിസ്റ്റത്തിൽ നിന്നുള്ള ഒരു ഉദാഹരണമാണ് ഇനിപ്പറയുന്നത്. /etc/pam.d/postlogin PAM ഫയലിൽ നിന്നുള്ള ഈ നിയമങ്ങൾ നമുക്ക് പരിഗണിക്കാം:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
session     [success=1 default=ignore] pam_succeed_if.so service !~ gdm* service !~ su* quiet
session     [default=1]   pam_lastlog.so nowtmp showfailed
session     optional      pam_lastlog.so silent noupdate showfailed

/etc/pam.d/smartcard-auth PAM ഫയലിൽ നിന്നുള്ള മറ്റൊരു ഉദാഹരണ കോൺഫിഗറേഷൻ ഇതാ:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        [success=done ignore=ignore default=die] pam_pkcs11.so nodebug wait_for_card
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

password    required      pam_pkcs11.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

കൂടുതൽ വിവരങ്ങൾക്ക്, pam.d മാൻ പേജ് കാണുക:

$ man pam.d 

അവസാനമായി, കോൺഫിഗറേഷൻ ഫയൽ വാക്യഘടനയുടെയും എല്ലാ PAM മൊഡ്യൂളുകളുടെയും സമഗ്രമായ വിവരണം Linux-PAM-നുള്ള ഡോക്യുമെന്റേഷനിൽ കാണാം.

ഒരു ലിനക്സ് സിസ്റ്റത്തിലെ ആപ്ലിക്കേഷനുകളിലേക്ക് ആധികാരിക ഉപയോക്താക്കൾക്ക് പ്രാമാണീകരണത്തെ ആശ്രയിക്കുന്ന പ്രോഗ്രാമുകളെ അനുവദിക്കുന്ന ശക്തമായ ഉയർന്ന തലത്തിലുള്ള API ആണ് PAM. ഇത് ശക്തവും എന്നാൽ മനസ്സിലാക്കാനും ഉപയോഗിക്കാനും വളരെ വെല്ലുവിളി നിറഞ്ഞതാണ്.

ഈ ലേഖനത്തിൽ, ഉബുണ്ടുവിലും സെന്റോസിലും PAM-ന്റെ വിപുലമായ സവിശേഷതകൾ എങ്ങനെ ക്രമീകരിക്കാമെന്ന് ഞങ്ങൾ വിശദീകരിച്ചിട്ടുണ്ട്. നിങ്ങൾക്ക് പങ്കിടാൻ എന്തെങ്കിലും ചോദ്യങ്ങളോ അഭിപ്രായങ്ങളോ ഉണ്ടെങ്കിൽ, ചുവടെയുള്ള ഫീഡ്uബാക്ക് ഫോം ഉപയോഗിക്കുക.