Informations de configuration
Les informations de configuration se trouvent dans /etc/pam.d/
. Voici ci-dessous un fichier
exemple :
# Begin /etc/pam.d/other
auth required pam_unix.so nullok
account required pam_unix.so
session required pam_unix.so
password required pam_unix.so nullok
# End /etc/pam.d/other
Maintenant, initialisez certains fichiers génériques. En
root :
install -vdm755 /etc/pam.d &&
cat > /etc/pam.d/system-account << "EOF" &&
# Begin /etc/pam.d/system-account
account required pam_unix.so
# End /etc/pam.d/system-account
EOF
cat > /etc/pam.d/system-auth << "EOF" &&
# Begin /etc/pam.d/system-auth
auth required pam_unix.so
# End /etc/pam.d/system-auth
EOF
cat > /etc/pam.d/system-session << "EOF"
# Begin /etc/pam.d/system-session
session required pam_unix.so
# End /etc/pam.d/system-session
EOF
Le fichier générique restant dépend de l'installation de
CrackLib-2.9.6. S'il est installé,
utilisez :
cat > /etc/pam.d/system-password << "EOF"
# Begin /etc/pam.d/system-password
# check new passwords for strength (man pam_cracklib)
password required pam_cracklib.so type=Linux retry=3 difok=5 \
difignore=23 minlen=9 dcredit=1 \
ucredit=1 lcredit=1 ocredit=1 \
dictpath=/lib/cracklib/pw_dict
# use sha512 hash for encryption, use shadow, and use the
# authentication token (chosen password) set by pam_cracklib
# above (or any previous modules)
password required pam_unix.so sha512 shadow use_authtok
# End /etc/pam.d/system-password
EOF
Note
Dans la configuration par défaut, pam_cracklib permettra les
mots de passe avec une casse multiple d'au moins 6 caractères,
même avec la valeur minlen
initialisée à 11. Vous
devez revoir la page de man pam_cracklib(8) et déterminer si
ces valeurs par défaut sont acceptable pour la sécurité de
votre système.
Si CrackLib-2.9.6 n'est PAS installé, utilisez :
cat > /etc/pam.d/system-password << "EOF"
# Begin /etc/pam.d/system-password
# use sha512 hash for encryption, use shadow, and try to use any previously
# defined authentication token (chosen password) set by any prior module
password required pam_unix.so sha512 shadow try_first_pass
# End /etc/pam.d/system-password
EOF
Maintenant ajoutez un fichier de configuration /etc/pam.d/other
restrictif. Avec ce fichier,
les programmes qui ne sont pas sous PAM ne pourront pas se lancer
sans qu'un fichier de configuration spécifique pour l'application
ne soit créé.
cat > /etc/pam.d/other << "EOF"
# Begin /etc/pam.d/other
auth required pam_warn.so
auth required pam_deny.so
account required pam_warn.so
account required pam_deny.so
password required pam_warn.so
password required pam_deny.so
session required pam_warn.so
session required pam_deny.so
# End /etc/pam.d/other
EOF
La page de manuel de PAM
(man pam) offre un
bon point de départ pour des descriptions des champs et des
entrées autorisées. Le Linux-PAM
System Administrators' Guide (guide de l'administrateur système
Linux-PAM) est recommandé pour des informations
supplémentaires.
Référez-vous à
http://debian.securedservers.com/kernel/pub/linux/libs/pam/modules.html
pour une liste des modules tiers disponibles.