PAM (Español)

Los módulos de autenticación conectables de Linux (Linux Pluggable Authentication Modules, o simplemente PAM) proporcionan un marco para la autenticación de usuarios en todo el sistema. Para citar el proyecto[enlace roto 2022-09-22]:

PAM proporciona una manera de desarrollar programas que son independientes del esquema de autenticación. Estos programas necesitan "módulos de autenticación" que se deben adjuntar en tiempo de ejecución para que funcionen. El módulo de autenticación que se adjuntará depende de la configuración del sistema local y queda a discreción del administrador del sistema local.
Esta traducción de PAM fue revisada el 2020-12-11. Si existen cambios puede actualizarla o avisar al equipo de traducción.

Este artículo explica los valores predeterminados de configuración base de Arch Linux para PAM para autenticar usuarios locales y remotos. La aplicación de cambios a los valores predeterminados está sujeta a artículos especializados reticulados por tema.

Instalación

El paquete pam es una dependencia del meta paquete base y, por lo tanto, instalado normalmente en un sistema Arch. Los módulos PAM están instalados exclusivamente en .

Los repositorios contienen una serie de paquetes PAM opcionales, en #Configuración guiada se muestran unos ejemplos.

Configuración

Un número de rutas en son relevantes para PAM, ejecute para ver los archivos de configuración por defecto creados. Se relacionan con los #Parámetros de seguridad para los módulos, o la configuración #Apilado base de PAM.

Parámetros de seguridad

La ruta contiene la configuración específica del sistema para las variables que ofrecen los métodos de autenticación. La instalación básica lo puebla con los archivos de configuración predeterminados.

Note que Arch Linux no proporciona una configuración específica de distribución para estos archivos. Por ejemplo, el archivo /etc/security/pwquality.conf se puede utilizar para definir los valores predeterminados de todo el sistema para la calidad de la contraseña. Sin embargo, para activarlo, el módulo pam_pwquality.so debe añadirse al #Apilado base de PAM de los módulos, que no es el caso por defecto.

Véase #Configuración de los parámetros de seguridad para algunas de las posibilidades.

Apilado base de PAM

La ruta es exclusiva de la configuración de PAM para vincular las aplicaciones a los esquemas individuales de autenticación de los sistemas. Durante la instalación de la base del sistema se puebla con:

  • el paquete , que contiene la pila base de la configuración PAM específica de Arch Linux para ser utilizada por las aplicaciones, y
  • otros paquetes base. Por ejemplo, añade la configuración para el inicio de sesión central y otros programas, el paquete añade los valores predeterminados de Arch Linux para proteger y modificar la base de datos del usuario (véase Usuarios y grupos).

Los diferentes archivos de configuración de la instalación base se enlazan y apilan durante el tiempo de ejecución. Por ejemplo, en el inicio de sesión de un usuario local, la aplicación login carga la política , que a su vez carga otros:

Para una aplicación diferente, se puede aplicar una ruta diferente. Por ejemplo, instala su política de PAM :

En consecuencia, la elección del archivo de configuración en la pila es importante. Para el ejemplo anterior, se podría requerir un método de autenticación especial solo para o para todos los inicios de sesión remotos cambiando system-remote-login; ambos cambios no afectarían los inicios de sesión locales. Aplicar el cambio a system-login o en cambio afectaría los inicios de sesión locales y remotos.

Al igual que en el ejemplo de , se requiere que cualquier aplicación consciente de PAM instale su política en para integrar y confiar en la pila de PAM apropiadamente. Si una aplicación no lo hace, se aplica la política predeterminada para denegar de y se registra una advertencia.

Las páginas del manual del paquete PAM y describen el contenido estandarizado de los archivos de configuración. En particular, explican los cuatro grupos de PAM: gestión de cuentas, autenticación, contraseña y sesión, así como los valores de control que pueden utilizarse para configurar el apilamiento y el comportamiento de los módulos.

Además, se ha instalado una extensa documentación en que, entre varias guías, contiene páginas de manual navegables para cada uno de los módulos estándar.

Sugerencia: Los cambios no son efectivos para los usuarios ya autenticados, una forma de trabajar con PAM es iniciar sesión preferiblemente local en la máquina de prueba y desarrollar, manteniendo la sesión en constante ejecución, mientras verifica los resultados con otro usuario en otra consola.

Ejemplos

Dos ejemplos breves para ilustrar la advertencia anterior.

Primero, tomamos las siguientes dos líneas:

De pam_unix(8): "El componente de autenticación realiza la tarea de verificar las credenciales (contraseña) de los usuarios. La acción predeterminada de este módulo es no permitir que el usuario acceda a un servicio si su contraseña oficial está en blanco." - siendo lo último para lo que se utiliza . Basta con intercambiar los valores de control y para desactivar la autenticación de contraseña, es decir, cualquier usuario puede iniciar sesión sin proporcionar una contraseña.

Segundo, como ejemplo contrario, por configuración predeterminada de en /etc/pam.d/login, creando el siguiente archivo:

# touch /etc/nologin 

da como resultado que ningún usuario que no sea root pueda iniciar sesión (si se permiten inicios de sesión del superusuario, otro valor predeterminado para Arch Linux). Para volver a permitir los inicios de sesión, elimine el archivo. Posiblemente, desde la consola con la que lo creó.

Con eso como fondo, véase #Configuración del apilado y los módulos de PAM para configuraciones de casos de uso particulares.

Configuración guiada

Esta sección proporciona una descripción general del contenido que detalla cómo aplicar cambios a la configuración de PAM y cómo integrar nuevos módulos PAM especiales en la pila de PAM. Tenga en cuenta que, por lo general, se puede acceder a las páginas del manual de los módulos al eliminar la extensión .

Configuración de los parámetros de seguridad

Las siguientes secciones describen ejemplos para cambiar la configuración predeterminada de parámetros de PAM:

muestra cómo forzar contraseñas seguras con .
muestra cómo configurar los limites en los intentos de inicio de sesión con pam_faillock.so.
limita los inicios de sesión de usuario con .
detalla cómo configurar los límites del proceso del sistema con .
muestra ejemplos para establecer variables de entorno a través de .

Configuración del apilado y los módulos de PAM

Los siguientes artículos detallan cómo cambiar el #Apilado base de PAM para casos de uso especiales.

Módulos PAM de los repositorios oficiales:

ejemplos detallados para utilizar para montar automáticamente las rutas de directorio cifradas en el inicio de sesión del usuario.
utiliza pam_ecryptfs.so para montar automáticamente un directorio cifrado.
muestra cómo utilizar para ejecutar un script personalizado en un inicio de sesión de usuario.
utiliza y para que los usuarios se identifiquen a través de servicios Active Directory (LDAP, Kerberos).
es un artículo sobre la integración de la autenticación de cliente o servidor LDAP con .
se basa en en la pila de PAM para activar la autenticación a través del protocolo propietario Yubikey.
muestra un ejemplo para implementar la autenticación de dos factores (two-factor) basada en software con pam_oath.so.
emplea para configurar la autenticación mediante huellas digitales.

Módulos PAM del repositorio de usuarios de Arch:

muestra cómo configurar para utilizar un dispositivo USB para autenticar, opcionalmente, mediante dos factores.
utiliza para autenticar como un usuario remoto.
explica cómo se puede utilizar para limitar los ataques de fuerza bruta a través de ssh.
puede ser montado automáticamente a través pam_encfs.so.
muestra cómo configurar la autenticación de dos factores con .
explica cómo configurar un chroot FTP con para autenticar usuarios sin una cuenta local de sistema.

Otros paquetes de PAM

Aparte de los paquetes mencionados hasta ahora, el repositorio de usuarios de Arch Contiene varios módulos y herramientas PAM adicionales.

Las utilidades de propósito general relacionadas con PAM son:

      Tenga en cuenta que AUR cuenta con una etiqueta de palabra clave para PAM, pero no todos los paquetes disponibles se actualizan para incluirlo. Por lo tanto, puede ser necesario buscar en la descripción del paquete.

      Véase también

      gollark: With 50% probability sort of maybe ish.
      gollark: From the point of view of the company selling the drive, it isn't.
      gollark: Surely the original universe might find the nonexistence of anyone travelling with it problematic.
      gollark: I'd assume they still use it for shipping tangle channels, at least.
      gollark: It's entirely possible that these aren't very popular because, despite probably being substantially more energy-efficient than most things, they seem incredibly eldritch to program and describe C as a "high-level language".
      This article is issued from Archlinux. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.