Au-delà de Linux® From Scratch - Version 2012-11-01

Chapitre 4. Sécurité

Linux-PAM-1.1.6

Introduction à Linux-PAM

Le paquet Linux-PAM contient des Pluggable Authentication Modules (modules d'authentification branchables). C'est utile pour permettre à l'administrateur système local de choisir la façon dont s'authentifient les utilisateurs des applications.

Ce paquet est connu pour se construire correctement sur une plateforme LFS-7.2.

Informations sur le paquet

Optional Documentation

  • Téléchargement (HTTP) : http://linux-pam.org/library/Linux-PAM-1.1.6.tar.bz2

  • Somme de contrôle MD5 du téléchargement : 7b73e58b7ce79ffa321d408de06db2c4

  • Taille du téléchargement : 1.1 Mo

  • Estimation de l'espace disque requis : 28 Mo

  • Estimation du temps de construction : 0.3 SBU

Téléchargements supplémentaires

Dépendances de Linux-PAM

Facultatives

Berkeley DB-5.3.21, CrackLib-2.8.19, libtirpc-0.2.2 et Prelude

Facultatives (Pour reconstruire la documentation)

DocBook XML-DTD-4.5, DocBook XSL Stylesheets-1.77.1, fop-1.1, libxslt-1.1.27 et w3m-0.5.3

Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/linux-pam

Installation de Linux-PAM

Si vous avez téléchargé la documentation, déballez l'archive tar en exécutant la commande suivante. 

tar -xf ../Linux-PAM-1.1.6-docs.tar.bz2 --strip-components=1

Installez Linux-PAM en lançant les commandes suivantes : 

./configure --prefix=/usr \
            --sysconfdir=/etc \
            --docdir=/usr/share/doc/Linux-PAM-1.1.6 \
            --disable-nis &&
make

Pour tester les résultats, vous devez créer un fichier d configuration. Ce fichier sera supprimé après la fin des tests. Assurez-vous qu'il n'y a pas d'erreurs renvoyées par les tests avant de poursuivre l'installation. Créez tout d'abord le fichier de configuration en effectuant les commandes suivantes en tant qu'utilisateur root : 

install -v -m755 -d /etc/pam.d &&

cat > /etc/pam.d/other << "EOF"
auth     required       pam_deny.so
account  required       pam_deny.so
password required       pam_deny.so
session  required       pam_deny.so
EOF

Maintenant lancez les tests en exécutant make check.

Supprimez le fichier de configuration créé plus haut en lançant la commande suivante en tant qu'utilisateur root : 

rm -rfv /etc/pam.d

Maintenant, en tant qu'utilisateur root : 

make install &&
chmod -v 4755 /sbin/unix_chkpwd

Explication des commandes

--disable-nis : Ce paramètre désactive la construction du support service d'information du réseau/Pages Jaunes dans les modules pam_unix et pam_access. Supprimez le si vous avez installé libtirpc-0.2.2.

chmod -v 4755 /sbin/unix_chkpwd : Le programme d'aide unix_chkpwd doît être setuid afin que les processus non-root puissent accéder le fichier shadow.

Configuration de Linux-PAM

Fichiers de configuration

/etc/security/* and /etc/pam.d/*

Informations de configuration

Les informations de configuration se trouvent dans /etc/pam.d/. Voici ci-dessous un fichier exemple : 

# Début de /etc/pam.d/other

auth            required        pam_unix.so     nullok
account         required        pam_unix.so
session         required        pam_unix.so
password        required        pam_unix.so     nullok

# Fin de /etc/pam.d/other

La page de man de PAM (man pam) offre un bon point de départ pour des descriptions des champs et des entrées autorisées. Le Linux-PAM System Administrators' Guide (guide de l'administrateur système Linux-PAM) est recommandé pour des informations supplémentaires.

[Important]

Important

Vous devriez maintenant réinstaller le paquet Shadow-4.1.5.1.

Contenu

Programmes Installés: mkhomedir_helper, pam_tally, pam_tally2, pam_timestamp_check, unix_chkpwd et unix_update
Bibliothèques installées: libpam.so, libpamc.so and libpam_misc.so
Répertoires installés: /etc/security, /lib/security, /usr/include/security et /usr/share/doc/Linux-PAM-1.1.6

Descriptions courtes

mkhomedir_helper

est un assistant binaire qui crée des répertoires home.

pam_tally

est utilisé pour interroger et manipuler le fichier compteur de login.

pam_tally2

est utilisé pour interroger et manipuler le fichier compteur de login sans certaines limitations de pam_tally.

pam_timestamp_check

est utilisé pour vérifier si l'horodatage par défaut est valide.

unix_chkpwd

est un assistant binaire qui vérifie le mot de passe de l'actuel utilisateur.

unix_update

est un assistant binaire qui met à jour le mot de passe d'un utilisateur donné.

libpam.so

fournit les interfaces entre les applications et les modules PAM.

Last updated on : 2012-09-23 22:08:11 +020