Linux LPIC2 noelmace.com
Noël Macé
Formateur et Consultant indépendant expert Unix et FOSS
http://www.noelmace.com
Authent...
Linux LPIC2 noelmace.com
Plan
• Introduction
• Configuration des services
• Modules et services
• Types de fonctionnalités...
Linux LPIC2 noelmace.com
Introduction
• Pluggable Authentication Modules
 librairies + API pour l'authentification
 stan...
Linux LPIC2 noelmace.com
Configuration des services
• /etc/pam.d/
 un fichier par service
 ou pam.conf le cas échéant
• ...
Linux LPIC2 noelmace.com
Modules et services
• PAM est (comme son nom l'indique) divisé en modules
 chacun couvrant une f...
Linux LPIC2 noelmace.com
Types de fonctionnalités
• un module offre des fonctionnalités
 réparties en groupes
 chaque mo...
Linux LPIC2 noelmace.com
Contrôle
• 4 types :
 requisite : termine immédiatement le service en cas d'echec
 required : e...
Linux LPIC2 noelmace.com
Modules
• pam_unix
 authentification via /etc/passwd et /etc/shadow
• pam_cracklib
 vérificatio...
Linux LPIC2 noelmace.com
pam_unix
Type Description
account établir le statut du compte et du mot de passe en se basant sur...
Linux LPIC2 noelmace.com
pam_cracklib
• Module password uniquement
• Options
 difok : nombre minimum de caractères permet...
Linux LPIC2 noelmace.com
pam_cracklib : exemples
• crédits positifs
 le mot de passe doit être composé de
• 14 caractères...
Linux LPIC2 noelmace.com
pam_limits
• fichiers /etc/security/limits.conf et /etc/security/limits.d/*.conf
 cf LPIC1 - Suj...
Linux LPIC2 noelmace.com
• domain : entité pour laquelle les limites s'appliquent
 nom d'utilisateur
 nom de groupe (@gr...
Linux LPIC2 noelmace.com
pam_listfile
• Options
 item=[tty|user|rhost|ruser|group|shell]
• types d'éléments contenus par ...
Linux LPIC2 noelmace.com
Ce qu’on a couvert
• Fichiers, termes et utilitaires de configuration de PAM
 /etc/pam.d et pam....
Linux LPIC2 noelmace.com
Licence
Ce(tte) œuvre (y compris ses illustrations, sauf mention explicite) est mise à dispositio...
Prochain SlideShare
Chargement dans…5
×

10 02 authentification PAM

363 vues

Publié le

préparation à la certification LPIC2 version 3.5 en français

Chapitre : Topic 210 : Gestion des clients réseau
Configuration des serveurs DHCP, de l'authentification PAM et du client LDAP

Partie 1 : authentification PAM
Topic 210.2

Fichiers, termes et utilitaires de configuration de PAM
Présentation des modules pam_unix, pam_cracklib, pam_limits et pam_listfile

Supports créés par Noël Macé sous Licence Creative Commons BY-NC-SA.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
363
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
17
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

10 02 authentification PAM

  1. 1. Linux LPIC2 noelmace.com Noël Macé Formateur et Consultant indépendant expert Unix et FOSS http://www.noelmace.com Authentification PAM Gestion des clients réseau Licence Creative Commons Ce(tte) œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 France.
  2. 2. Linux LPIC2 noelmace.com Plan • Introduction • Configuration des services • Modules et services • Types de fonctionnalités • Contrôle • Modules  pam_unix  pam_cracklib • pam_cracklib : exemples  pam_limits • pam_limits : configuration  pam_listfile
  3. 3. Linux LPIC2 noelmace.com Introduction • Pluggable Authentication Modules  librairies + API pour l'authentification  standard sous GNU/Linux  permet de définir la politique d'authentification d'une application indépendamment de celle-ci • et de manière centralisée  utilisé par un grand nombre de programmes • ex : login et su • Un peu d'histoire  /etc/passwd → /etc/shadow  /etc/passwd → autres bases de données (ex : ldap) • nécessité de réécrire login et chaque logiciel utilisant l'authentification  externalisation du processus d'authentification
  4. 4. Linux LPIC2 noelmace.com Configuration des services • /etc/pam.d/  un fichier par service  ou pam.conf le cas échéant • ajout d'une première colonne "service" • Syntaxe  évaluées dans leur ordre d'apparition • Exemple type control module-path module-argumentstype control module-path module-arguments #%PAM-1.0 : login service auth required pam_nologin.so auth required pam_access.so ... account required pam_stack.so service=system-auth password required pam_stack.so ... #%PAM-1.0 : login service auth required pam_nologin.so auth required pam_access.so ... account required pam_stack.so service=system-auth password required pam_stack.so ...
  5. 5. Linux LPIC2 noelmace.com Modules et services • PAM est (comme son nom l'indique) divisé en modules  chacun couvrant une fonction particulière  capable d'être liée dynamiquement à une application fournissant un service • La configuration consiste donc à déterminer quel sera le comportement d'un (ou plusieurs) modules pour un service  ex : le service login nécessite l’absence du fichier no_login (module pam_nologin) auth required pam_nologin.soauth required pam_nologin.so
  6. 6. Linux LPIC2 noelmace.com Types de fonctionnalités • un module offre des fonctionnalités  réparties en groupes  chaque module pouvant offrir des fonctionnalités dans un ou plusieurs de ces groupes • 4 groupes indépendants  Account: vérification des comptes • validité du mot de passe, autorisations d'accès, etc ...  Authentification : vérification de l'identité de l'utilisateur • mot de passe, carte à puce, contrôle rétinien, etc ...  Password : mise à jour des mécanismes d'authentification • ex : entrer un nouveau mot de passe • fortement lié au groupe Authentication  Session : tâches à effectuer avant et après un service • ex : montage du répertoire personnel de l'utilisateur • • défini le périmètre d'action de chaque fonctionnalité d'un module
  7. 7. Linux LPIC2 noelmace.com Contrôle • 4 types :  requisite : termine immédiatement le service en cas d'echec  required : en cas d’échec, retourne une erreur après que tout les autres modules aient été invoqués  sufficient : valide le processus d'authentification en cas de succès • même si d'autres modules ont auparavant échoués  optional : n'est pris en compte que si il s'agit de l'unique module associé au service
  8. 8. Linux LPIC2 noelmace.com Modules • pam_unix  authentification via /etc/passwd et /etc/shadow • pam_cracklib  vérification de la sécurité d'un mot de passe • dictionnaire et autres paramètres • pam_limits  limite des ressources accessibles via une session • à partir de /etc/security/limits.conf puis limits.d/ • pam_listfile  autorise ou interdit une action en fonction d'un listfile
  9. 9. Linux LPIC2 noelmace.com pam_unix Type Description account établir le statut du compte et du mot de passe en se basant sur les éléments shadow (expire, last_change, max_change, min_change, warn_change) auth vérification du mot de passe (n’autorise aucun accès en cas de mot de passe vide) password mise à jour du mot de passe session journalisation des accès • Documentation (sag) : http://www.linux-pam.org/Linux-PAM-html/sag-pam_unix.html
  10. 10. Linux LPIC2 noelmace.com pam_cracklib • Module password uniquement • Options  difok : nombre minimum de caractères permettant de différencier un nouveau mot de passe d'un ancien • 5 par défaut  minlen : taille minimale du nouveau mot de passe • 9 par défaut  Crédits : nombre minimal d’occurrence d'un certain type de caractère • si N>0 : permet de diminuer la taille minimale requise de maximum N caractères si le type de caractère est utilisé • si N< 0 : indique exactement le nombre minium de caractères du type, sans impacte sur la taille minimale total • 1 par défaut - dcredit : nombre minimal de chiffres - ucredit : nombre minimal de lettres majuscules - lcredit : nombre minimal de lettres minuscules - ocredit : nombre minimal de caractères spéciaux (autre que majuscule, minuscule ou chiffre) • Documentation : http://www.linux-pam.org/Linux-PAM-html/sag-pam_cracklib.html
  11. 11. Linux LPIC2 noelmace.com pam_cracklib : exemples • crédits positifs  le mot de passe doit être composé de • 14 caractères si il n'est composé que de caractères minuscules • 9 caractères si, en plus des lettres minuscules, il est composé d'au moins une majuscule, deux chiffres et deux caractères • crédits négatifs  le mot de passe doit être composé d'au moins un caractère spécial, un chiffre et une lettre majuscule, pour une taille minimale de 8 caractères password required pam_cracklib.so difok=3 minlen=15 dcredit= 2 ocredit=2 password required pam_unix.so use_authtok nullok md5 password required pam_cracklib.so difok=3 minlen=15 dcredit= 2 ocredit=2 password required pam_unix.so use_authtok nullok md5 password required pam_cracklib.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0 minlen=8 password required pam_unix.so use_authtok nullok md5 password required pam_cracklib.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0 minlen=8 password required pam_unix.so use_authtok nullok md5
  12. 12. Linux LPIC2 noelmace.com pam_limits • fichiers /etc/security/limits.conf et /etc/security/limits.d/*.conf  cf LPIC1 - Sujet 110.1 : Tâches d'administration de sécurité  affecte tout les utilisateurs, y compris root • module session uniquement • Documentation : sag-pam_limits
  13. 13. Linux LPIC2 noelmace.com • domain : entité pour laquelle les limites s'appliquent  nom d'utilisateur  nom de groupe (@groupname)  tout le monde (*) • type : hard ou soft limit  hard : ne peu être depassée • mise en place par l'admin  soft : peu être dépassée temporairement  - : hard ET soft • value : valeur à appliquer • Exemple : pam_limits : configuration • item : quel type d'item est affecté (généralement en Ko)  core : taille des "core files" • dump de l'état d'un processus en mémoire lors d'un arrêt brutal • pour debugging  data : taille des données programme  fsize : taille des fichiers créés par l'utilisateur  nofile : nombre de fichiers ouverts  rss : resident set size maximal • portion de la mémoire processus stockée en mémoire  nproc : nombre de processus concurrents  maxlogins : nombre maximum de sessions simultanés  priority : process priority  cpu : temps cpu d'un seul processus, en minutes <domain> <type> <item> <value><domain> <type> <item> <value> @limited hard cpu 2@limited hard cpu 2
  14. 14. Linux LPIC2 noelmace.com pam_listfile • Options  item=[tty|user|rhost|ruser|group|shell] • types d'éléments contenus par le fichier et devant être vérifiés  file=/path/filename • fichier liste  sense=[allow|deny] • action à réalisé si l'élément est présent dans le fichier  onerr=[succeed|fail] • que faire en cas d'erreur • ex : ouverture du fichier impossible • Exemples  interdire l'accès à une liste d'utilisateurs  autoriser l'accès à une liste d'utilisateurs • Documentation : sag-pam_listfile auth required pam_listfile.so onerr=succeed item=user sense=deny file=/etc/ftpusersauth required pam_listfile.so onerr=succeed item=user sense=deny file=/etc/ftpusers auth required pam_listfile.so onerr=fail item=user sense=allow file=/etc/loginusersauth required pam_listfile.so onerr=fail item=user sense=allow file=/etc/loginusers
  15. 15. Linux LPIC2 noelmace.com Ce qu’on a couvert • Fichiers, termes et utilitaires de configuration de PAM  /etc/pam.d et pam.conf • Modules essentiels de PAM  pam_unix, pam_cracklib, pam_limits et pam_listfile Weight : 3 Description : The candidate should be able to configure PAM to support authentication using various available methods. 210.2 PAM authentication
  16. 16. Linux LPIC2 noelmace.com Licence Ce(tte) œuvre (y compris ses illustrations, sauf mention explicite) est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 France. Pour voir une copie de cette licence, visitez http://creativecommons.org/licenses/by-nc-sa/3.0/fr/ ou écrivez à : Creative Commons, 444 Castro Street, Suite 900, Mountain View, California, 94041, USA. Vous êtes libre de :  partager — reproduire, distribuer et communiquer cette œuvre  remixer — adapter l’œuvre Selon les conditions suivantes :  Attribution — Vous devez clairement indiquer que ce document, ou tout document dérivé de celui, est (issu de) l’œuvre originale de Noël Macé (noelmace.com) (sans suggérer qu'il vous approuve, vous ou votre utilisation de l’œuvre, à moins d'en demander expressément la permission).  Pas d’Utilisation Commerciale — Vous n’avez pas le droit d’utiliser cette œuvre à des fins commerciales (ie. l'intention première ou l'objectif d'obtenir un avantage commercial ou une compensation financière privée). Pour obtenir ce droit, une autorisation explicite de l'auteur est requise.  Partage dans les Mêmes Conditions — Si vous modifiez, transformez ou adaptez cette œuvre, vous n’avez le droit de distribuer votre création que sous une licence identique ou similaire à celle-ci. Pour toute demande de collaboration, d'utilisation commerciale ou de publication de ce support ou d'un dérivé de celui-ci sous une licence incompatible, contacter l'auteur via les contacts indiqués sur le site http://www.noelmace.com. Vous êtes par ailleurs vivement encouragé (sans obligation légale) à communiquer avec celui-ci si vous réalisez une œuvre dérivée ou toute amélioration de ce support.

×