Исследование уровня безопасности операционной системы Linux
каталоге
/lib/security. Кратко рассмотрим, какие модули входят в стандартный пакет
PAM, и какие функции выполняет каждый из них:
|Название модуля |Тип модуля |Описание |
|pam_cracklib |password |Позволяет проверять пароль на стойкость, |
| | |не является ли он, например, словом из |
| | |словаря и т. д. В основном используется |
| | |программами, задающими пароли. К полезным |
| | |параметрам относятся: |
| | |retry=N – задает количество попыток на |
| | |исправление ошибки; |
| | |diffok=N – определяет минимальное |
| | |количество символов, которое должно быть |
| | |изменено при смене пароля; |
| | |minlen=N – задает минимальный размер |
| | |пароля в символах; |
| | |dcredit=N ucredit=N lcredit=N ocredit=N – |
| | |задает минимальное количество цифр, |
| | |строчных, прописных букв и других |
| | |символов, которые должны присутствовать в |
| | |пароле. |
|pam_deny |любой |Основное назначение этого модуля – запрет |
| | |доступа при любых условиях. |
|pam_env |auth |Контролирует сохранность переменных среды.|
| | |С помощью параметра conffile=S можно |
| | |указать файл конфигурации, отличный от |
| | |стандартного. |
|pam_ftp |auth |Предназначен для организации анонимного |
| | |доступа. Получив в качестве имени |
| | |пользователя последовательность |
| | |‘anonymous’, модуль в качестве пароля |
| | |требует строку, похожую на почтовый адрес.|
| | |К полезным параметрам относятся: |
| | |users=XXX, XXX, … - разрешает анонимный |
| | |вход для пользователей из этого списка; |
| | |ignore – позволяет не обращать внимания, |
| | |похож ли пароль на почтовый адрес. |
|pam_group |auth |Определяет группу-владельца процесса, |
| | |запущенного аутентифицированным |
| | |пользователем. |
|pam_lastlog |auth |Сообщает о месте и времени входа в |
| | |систему. Для протоколирования используется|
| | |файл wtmp, находящийся в каталоге /var/log|
| | |. К полезным параметрам можно отнести: |
| | |nodate noterm nohost silent – позволяют не|
| | |выводить в сообщении дату, терминал, адрес|
| | |машины или вообще ничего не записывать в |
| | |файл; |
| | |never – предоставляет возможность выдачи |
| | |приветствия пользователя, впервые |
| | |вошедшего в систему. |
|pam_limits |session |Позволяет задавать ограничения для |
| | |пользователя на размер файлов, число |
| | |одновременно открытых дескрипторов и т. д.|
| | |Имеет параметр conf=S для указания |
| | |альтернативного конфигурационного файла. |
|pam_listfile |auth |Предназначен для организации доступа на |
| | |основе конфигурационных файлов наподобие |
| | |/etc/ftpaccess. Возможные паарметры: |
| | |onerr=succeed | fail – задает возвращаемое|
| | |значение в случае неудачного поиска; |
| | |sence=allow | deny – задает возвращаемое |
| | |значение в случае удачного поиска; |
| | |file=filename – позволяет указать имя |
| | |файла со списком; |
| | |item=user | tty | rhost | ruser | group | |
| | |shell – определяет тип элементов в списке.|
| | |Например, значение item=user означает, что|
| | |в файле содержится список имен |
| | |пользователей, имеющих возможность входа в|
| | |систему. |
|pam_mail |auth |Позволяет уведомлять пользователя о вновь |
| | |пришедшей почте. Полезные параметры: |
| | |dir=S – указывает путь к каталогу почтовых|
| | |очередей; |
| | |noenv – отменяет установку переменной |
| | |среды MAIL; |
| | |close – разрешает уведомлять о новых |
| | |письмах в почтовых ящиках пользователей с |
| | |аннулированными бюджетами; |
| | |nopen – запрещает вывод какой-либо |
| | |почтовой информации для вновь заведенного |
| | |бюджета. |
|pam_nologin |auth |Если файл /etc/nologin существует, в |
| | |систему может войти только |
| | |привилегированный пользователь root, |
| | |остальным же при попытке входа выдается |
| | |содержимое этого файла. |
|pam_permit |любой |Этот модуль дает доступ при любых |
| | |условиях. Необдуманное использование этого|
| | |модуля весьма опасно! |
|pam_pwdb |любой |Замещает модули серии pam_unix. Этот |
| | |модуль использует интерфейс библиотеки |
| | |libpwdb, предназначенный для работы с |
| | |пользовательскими базами данных, что |
| | |повышает независимость системы |
| | |аутентификации от способа хранения |
| | |пользовательских данных. Полезные |
| | |параметры: |
| | |nullok – разрешает использование пустых |
| | |паролей; |
| | |md5 shadow bigcrypt – указывает |
| | |используемые алгоритмы шифрования паролей.|
|pam_radius |session |Позволяет осуществлять аутентификацию |
| | |через сервер RADIUS. |
|pam_rhosts_auth |auth |Механизм работы этого модуля основывается |
| | |на анализе содержимого файлов hosts.equiv |
| | |и .rhosts, используемых для аутентификации|
| | |такими службами, как rlogin и rsh. |
| | |Полезные параметры: |
| | |no_hosts_equiv – позволяет игнорировать |
| | |содержимое файла hosts.equiv; |
| | |no_rhosts - позволяет игнорировать |
| | |содержимое файла .rhosts; |
| | |suppress – позволяет избежать запись |
| | |малозначительных сообщений в системный |
| | |журнал, в частности, при использовании |
| | |флага sufficient. |
|pam_root_ok |auth |Позволяет организовать доступ |
| | |привилегированного пользователя к сервису,|
| | |минуя процедуру ввода пароля. Пользователь|
| | |допускается к сервису, только если его |
| | |системный идентификатор равен нулю (то |
| | |есть привилегированный пользователь root).|
|pam_securetty |auth |Позволяет учитывать файл /etc/securetty. В|
| | |файле /etc/securetty указаны терминалы, с |
| | |которых привилегированный пользователь |
| | |имеет доступ в систему. |
|pam_time |account |Накладывает временные ограничения на |
| | |доступ в систему. |
|pam_warn |auth, |Производит записи в системных журналах
| | скачать работу |
Исследование уровня безопасности операционной системы Linux |