Читайте также:
|
|
PAM – это набор API для аутентификации пользователей. Механизм PAM объединяет множество низкоуровневых схем аутентификации в API высокого уровня, позволяющий создавать приложения, использующие аутентификацию независимо от применяемой схемы аутентификации. Принципиальным свойством PAM является динамическая настройка аутентификации при помощи файла /etc/pam.d или /etc/pam.conf.
Модули PAM классифицируются по типу модуля. Каждый модуль должен выполнять функции хотя бы одного из четырех типов:
1. Модуль аутентификации (auth) используется для аутентификации пользователей или создания и удаления учетных данных.
2. Модуль управления учетными записями (account) выполняет действия, связанные с доступом, истечением срока действия учетных данных или записей, правилами и ограничениями для паролей и т. д.
3. Модуль управления сеансами (session) используется для создания и завершения сеансов.
4. Модуль управления паролями (password) выполняет действия, связанные с изменением и обновлением пароля.
PAM обеспечивает различные функциональные возможности, такие как: аутентификация с однократной регистрацией, управление доступом и другие. Их реализация обеспечивается различными модулями:
· pam_access обеспечивает управление входом в систему в виде протоколируемой службы при помощи имени пользователя и домена в зависимости от правил, указанных заранее в файле /etc/security/access.conf.
· pam_cracklib проверяет пароли на соответствие правилам для паролей.
· pam_env sets/unsets устанавливает и сбрасывает переменные среды из файла /etc/security/pam_env_conf.
· pam_debug выполняет отладку PAM.
· pam_deny блокирует модули PAM.
· pam_echo выводит сообщения.
· pam_exec выполняет внешнюю команду.
· pam_ftp модуль для анонимного доступа.
· pam_localuser проверяет наличие имени пользователя в файле /etc/passwd.
· pam_unix выполняет обычную аутентификацию на основе пароля из файла /etc/passwd.
Файл /etc/passwd — это текстовая база данных, в которой описываются учетные записи пользователей.
На одного пользователя в файле отводится одна строка. Поля в строке разделяются символами двоеточие. В файле семь полей:
¾ Имя учетной записи пользователя (login).
¾ Хеш пароля пользователя.
¾ Уникальный номер пользователя в системе (UID).
¾ Уникальный номер основной группы пользователя (GID).
¾ Дополнительная информация.
¾ Домашняя директория пользователя.
¾ Программа, которая запускается при входе пользователя в систему.
Обязательными полями считаются только: login, UID и GID основной группы. Все остальные поля можно не определять.
В современных системах хеш пароля пользователя не хранится в файле passwd, он вынесен в отдельный файл /etc/shadow. Сделано это потому, что файл passwd обязательно должен быть доступен на чтение всем пользователям системы. Если в поле пароль в файле passwd стоит символ х — это значит, что хеш пароля находится в файле /etc/shadow.
Файл /etc/shadow
Кроме имени (первое поле каждой строки) и хеша (второе поле) здесь также хранятся
¾ дата последнего изменения пароля,
¾ через сколько дней можно будет поменять пароль,
¾ через сколько дней пароль устареет,
¾ за сколько дней до того, как пароль устареет, начать напоминать о необходимости смены пароля,
¾ через сколько дней после того, как пароль устареет, заблокировать учётную запись пользователя,
¾ дата, при достижении которой учётная запись блокируется,
¾ зарезервированное поле.
Даты обозначаются как число дней с 1 января 1970 года (начало эпохи UNIX).
Файл групп /etc/group содержит записи обо всех группах в системе. Каждая его строка содержит
¾ Символьное имя группы.
¾ Пароль группы— устаревшее поле, сейчас не используется. В нём обычно стоит «x».
¾ Идентификатор группы, или GID.
¾ Список имён участников, разделённых запятыми.
Средства удаленного управления Linux. Вопросы обеспечения безопасности при удаленном управлении.
Удаленное (дистанционное) управление ОС Linux и использование для этих целей протоколов telnet и SSH.
TELNET (TErminaL NETwork) — сетевой протокол для реализации текстового интерфейса по сети (в современной форме — при помощи транспорта TCP). Для доступа к Linux-системе с помощью telnet необходимо, чтобы на ней был установлен и запущен telnet-сервер telnetd. Клиентские программы telnet есть практически во всех операционных системах. При подключении необходимо указать адрес удаленной машины. После установления соединения пользователь в стандартном диалоге должен указать логин и пароль. Основным недостатком telnet является открытая передача данных, в т.ч. и аутентификационных.
telnet lenny.ibst.psu
SSH (Secure SHell — «безопасная оболочка») — сетевой протокол сеансового уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Схож по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем.
SSH позволяет безопасно передавать в незащищенной среде практически любой другой сетевой протокол. Таким образом, можно не только удаленно работать на компьютере через командную оболочку, но и передавать по шифрованному каналу звуковой поток или видео, может использовать сжатие передаваемых данных для последующего их шифрования, что удобно, например, для удаленного запуска клиентов X Window System.
Для доступа к Linux-системе с помощью ssh необходимо, чтобы на ней был установлен и запущен ssh-сервер sshd. На клиентской машине используют программу ssh.
Для копирования файлов с использованием протокола ssh необходимо использовать команду scp (аналогично копированию в локальной системе командой cp)
7 Права доступа к файлам и каталогам: традиционные права доступа, управление доступом.
Дата добавления: 2014-12-19; просмотров: 39 | Поможем написать вашу работу | Нарушение авторских прав |