Beyond Linux From Scratch. Версия 6.0

Глава 4. Безопасность

Linux-PAM-0.78

Введение в Linux-PAM

Пакет Linux- PAM содержит Pluggable Authentication Modules. Он полезен для разрешения локальному системному администратору выбирать, как приложения идентифицируют пользователей.

Информация о пакете

Дополнительно

Зависимости Linux-PAM

Рекомендованные

cracklib-2.7.

Опциональные

sgmltools-lite и Berkeley DB-4.3.27 (для модуля pam_userdb).

Установка Linux-PAM

Установим Linux-PAM запуском следующих команд:


patch -Np1 -i ../Linux-PAM-0.78-linkage-2.patch &&
autoconf &&
sed -i 's/(mandir)/(MANDIR)/g' modules/Simple.Rules &&
./configure --enable-static-libpam --with-mailspool=/var/mail \
            --enable-read-both-confs --sysconfdir=/etc &&
make

А теперь, как пользователь root:


make install &&
mv /lib/libpam.a /lib/libpam_misc.a /lib/libpamc.a /usr/lib &&
rm /lib/libpam{,c,_misc}.so &&
ln -sf ../../lib/libpam.so.0.78 /usr/lib/libpam.so &&
ln -sf ../../lib/libpam_misc.so.0.78 /usr/lib/libpam_misc.so &&
ln -sf ../../lib/libpamc.so.0.78 /usr/lib/libpamc.so

Описание команд

autoconf: Необходим, потому что изменение пути, по которому PAM ищет библиотеки cracklib, требует перегенерации скрипта configure.

sed -i 's/(mandir)/(MANDIR)/g' modules/Simple.Rules: Эта команда разместит модуль manpages с остальными man-страницами в /usr/share/man.

--enable-static-libpam: Этот ключ построит статические PAM-библиотеки.

--with-mailspool=/var/mail: Этот ключ сделает каталог mailspool совместимым с FHS.

--enable-read-both-confs: Этот ключ позволит локальному администратору выбирать установленный для использования файл конфигурации.

mv /lib/libpam.a /lib/libpam_misc.a /lib/libpamc.a /usr/lib: Эта команда переместит статические библиотеки в /usr/lib для совместимости с FHS.

rm /lib/libpam{,c,_misc}.so; ln -sf ... /usr/lib/...: Эти команды переместят ссылки .so из /lib в /usr/lib.

Конфигурация Linux-PAM

Файлы конфигурации

/etc/pam.d/* или /etc/pam.conf.

Конфигурационная информация

Конфигурационная информация размещена в /etc/pam.d/ или /etc/pam.conf, в зависимости от предпочтений пользователя. Ниже приведены примеры файлов каждого типа:

# Begin /etc/pam.d/other
authrequiredpam_unix.so nullok
account requiredpam_unix.so
session requiredpam_unix.so
passwordrequiredpam_unix.so nullok
# End /etc/pam.d/other

# Begin /etc/pam.conf
other authrequiredpam_unix.so nullok
other account requiredpam_unix.so
other session requiredpam_unix.so
other passwordrequiredpam_unix.so nullok
# End /etc/pam.conf

Страница man PAM (man pam) предоставляет хорошую точку отсчета для описания полей и допустимого содержимого. Руководство Linux-PAM для системных администраторов рекомендуется для дальнейшего прочтения.

Обратитесь к http://www.kernel.org/pub/linux/libs/pam/modules.html за перечнем различных доступных модулей.

[Замечание]

Замечание

Вам теперь необходимо переустановить пакет Shadow-4.0.4.1.

Содержание

Установленные программы: unix_chkpwd и pam_tally. Установленные библиотеки: libpam.[so,a], libpamc.[so,a] и libpam_misc.[so,a]. Установленные каталоги: /etc/pam.d, /etc/security, /lib/security и /usr/include/security.

Короткое описание

unix_chkpwd

Проверяет пароли пользователя, сохраненные в защищенной от чтения базе данных.

libpam.[so,a]

Предоставляет интерфейсы между приложениями и модуляим PAM.

Последнее обновление 2005-03-17 20:30:11 -0700.