PAM (Русский)

Каталог содержит системные настройки переменных, предлагаемых методами аутентификации. При базовой установке он заполняется стандартными файлами конфигурации из апстрима.

Arch Linux не предоставляет специфичную для дистрибутива конфигурацию этих файлов. Например, файл /etc/security/pwquality.conf можно использовать для определения общесистемных значений по умолчанию для контроля качества паролей. Однако для его использования нужно в #Базовый стек PAM включить модуль pam_pwquality.so, который по умолчанию отключен.

Некоторые возможности описаны в разделе #Настройка параметров безопасности.

Настройки в каталоге связывают приложения с определёнными системными схемами аутентификации. Во время установки базовой системы в этот каталог добавляются настройки:

• из пакета , который содержит базовый стек специфичной для Arch Linux конфигурации PAM для использования приложениями, и
• из других базовых пакетов. Например, добавляет конфигурацию для программы login и других программ, пакет добавляет стандартные настройки Arch Linux для защиты и изменения базы данных пользователей (смотрите Пользователи и группы).

Различные файлы настроек базовой установки связываются вместе и складываются во время выполнения. Например, при входе локального пользователя в систему программа login считывает политику , которая, в свою очередь, считывает другие политики:

Другие приложения могут применять другие политики. Например, устанавливает свою собственную PAM-политику :

Следовательно, выбор файла для настройки в стеке имеет значение. В приведённом выше примере можно затребовать специальный метод аутентификации или только для путём изменения одноимённого файла, или для всех удалённых входов путём изменения файла system-remote-login; оба изменения не повлияют на локальные входы. Изменение настроек или повлияет и на локальные, и на удалённые входы.

Как и в случае с , любое приложение, использующее pam, должно установить свою политику в , чтобы интегрироваться в стек PAM и полагаться на него должным образом. Если приложение этого не сделает, будет применяться политика по умолчанию , запрещающая вход и выводящая предупреждение в журнал.

$ ldd /usr/bin/login | grep pam

libpam.so.0 => /usr/lib/libpam.so.0 (0x000003d8c32d6000)
libpam_misc.so.0 => /usr/lib/libpam_misc.so.0 (0x000003d8c30d2000)

Справочные страницы и описывают стандартизированное содержимое файлов настроек. В частности, они объясняют четыре группы PAM: account, auth, password и session, а также управляющие значения, которые могут быть использованы для настройки стека и поведения модулей.

Кроме того, в устанавливается обширная документация установлена, которая, помимо различных руководств, содержит man-страницы для каждого из стандартных модулей.

В следующих разделах описаны примеры изменения параметров PAM по умолчанию:

• Безопасность#Требования к паролю с pam_pwquality

показывает, как включить требование использования сложных паролей с помощью .

• Безопасность#Блокировка из-за неудачных попыток входа

показывает, как настроить ограничение на число попыток входа с помощью .

• Безопасность#Доступ только для конкретных пользователей

ограничивает вход пользователей с помощью .

• Realtime process management#Configuring PAM и Безопасность#Ограничение на количество процессов

подробно о том, как настроить ограничения процессов с помощью .

• Переменные окружения#С помощью pam_env

показывает примеры установки переменных окружения с помощью .

Следующие статьи описывают, как изменить #Базовый стек PAM для специальных случаев использования.

Модули PAM, доступные в официальных репозиториях:

• pam_mount

подробные примеры использования для автоматического монтирования зашифрованных каталогов при входе пользователя в систему.

• ECryptfs#Auto-mounting

использует для автоматического монтирования зашифрованного каталога.

• Dm-crypt/Mounting at login

показывает, как использовать pam_exec.so для выполнения пользовательского скрипта при входе.

• Интеграция Active Directory#Настройка PAM

использует и pam_krb5.so для аутентификации пользователей через службы Active Directory (LDAP, Kerberos).

• LDAP authentication и раздел LDAP authentication#NSS and PAM

статья об интеграции LDAP-клиента или аутентификации на стороне сервера с помощью .

• YubiKey#Linux user authentication with PAM

описывает использование U2F () и проприетарной реализации Yubico OTP () от YubiKey с PAM.

• pam_oath

показывает пример реализации программной двухфакторной аутентификации с помощью .

• fprint

использует для настройки аутентификации по отпечаткам пальцев.

Модули PAM, доступные в пользовательском репозитории Arch:

• pam_autologin

сохраняет имя пользователя и пароль для автоматического входа в систему.

• pam_usb

показывает, как настроить для использования USB-устройства для (опционально двухфакторной) аутентификации.

• Ключи SSH#pam_ssh

использует для аутентификации в качестве удалённого пользователя.

• pam_abl

объясняет, как можно использовать pam_abl.so для ограничения атак перебором через ssh.

• EncFS

настройка автоматического монтирования с помощью .

• Google Authenticator (Русский)

показывает, как настроить двухфакторную аутентификацию с помощью .

• Very Secure FTP Daemon#PAM with virtual users

объясняет, как настроить FTP chroot с помощью pam_pwdfile.so для аутентификации пользователей без локальной системной учётной записи.