PAM (Español)

Los módulos de autenticación conectables de Linux (Linux Pluggable Authentication Modules, o simplemente PAM) proporcionan un marco para la autenticación de usuarios en todo el sistema. Para citar el proyecto^{[enlace roto 2022-09-22]}:

PAM proporciona una manera de desarrollar programas que son independientes del esquema de autenticación. Estos programas necesitan "módulos de autenticación" que se deben adjuntar en tiempo de ejecución para que funcionen. El módulo de autenticación que se adjuntará depende de la configuración del sistema local y queda a discreción del administrador del sistema local.

Esta traducción de PAM fue revisada el 2020-12-11. Si existen cambios puede actualizarla o avisar al equipo de traducción.

Este artículo explica los valores predeterminados de configuración base de Arch Linux para PAM para autenticar usuarios locales y remotos. La aplicación de cambios a los valores predeterminados está sujeta a artículos especializados reticulados por tema.

Instalación

El paquete pam es una dependencia del meta paquete base y, por lo tanto, instalado normalmente en un sistema Arch. Los módulos PAM están instalados exclusivamente en .

Los repositorios contienen una serie de paquetes PAM opcionales, en #Configuración guiada se muestran unos ejemplos.

Configuración

Un número de rutas en son relevantes para PAM, ejecute para ver los archivos de configuración por defecto creados. Se relacionan con los #Parámetros de seguridad para los módulos, o la configuración #Apilado base de PAM.

Parámetros de seguridad

La ruta contiene la configuración específica del sistema para las variables que ofrecen los métodos de autenticación. La instalación básica lo puebla con los archivos de configuración predeterminados.

Note que Arch Linux no proporciona una configuración específica de distribución para estos archivos. Por ejemplo, el archivo /etc/security/pwquality.conf se puede utilizar para definir los valores predeterminados de todo el sistema para la calidad de la contraseña. Sin embargo, para activarlo, el módulo pam_pwquality.so debe añadirse al #Apilado base de PAM de los módulos, que no es el caso por defecto.

Véase #Configuración de los parámetros de seguridad para algunas de las posibilidades.

Apilado base de PAM

La ruta es exclusiva de la configuración de PAM para vincular las aplicaciones a los esquemas individuales de autenticación de los sistemas. Durante la instalación de la base del sistema se puebla con:

el paquete , que contiene la pila base de la configuración PAM específica de Arch Linux para ser utilizada por las aplicaciones, y
otros paquetes base. Por ejemplo, añade la configuración para el inicio de sesión central y otros programas, el paquete añade los valores predeterminados de Arch Linux para proteger y modificar la base de datos del usuario (véase Usuarios y grupos).

Los diferentes archivos de configuración de la instalación base se enlazan y apilan durante el tiempo de ejecución. Por ejemplo, en el inicio de sesión de un usuario local, la aplicación login carga la política , que a su vez carga otros:

Para una aplicación diferente, se puede aplicar una ruta diferente. Por ejemplo, instala su política de PAM :

En consecuencia, la elección del archivo de configuración en la pila es importante. Para el ejemplo anterior, se podría requerir un método de autenticación especial solo para o para todos los inicios de sesión remotos cambiando system-remote-login; ambos cambios no afectarían los inicios de sesión locales. Aplicar el cambio a system-login o en cambio afectaría los inicios de sesión locales y remotos.

Al igual que en el ejemplo de , se requiere que cualquier aplicación consciente de PAM instale su política en para integrar y confiar en la pila de PAM apropiadamente. Si una aplicación no lo hace, se aplica la política predeterminada para denegar de y se registra una advertencia.

Las páginas del manual del paquete PAM y describen el contenido estandarizado de los archivos de configuración. En particular, explican los cuatro grupos de PAM: gestión de cuentas, autenticación, contraseña y sesión, así como los valores de control que pueden utilizarse para configurar el apilamiento y el comportamiento de los módulos.

Además, se ha instalado una extensa documentación en que, entre varias guías, contiene páginas de manual navegables para cada uno de los módulos estándar.

Sugerencia: Los cambios no son efectivos para los usuarios ya autenticados, una forma de trabajar con PAM es iniciar sesión preferiblemente local en la máquina de prueba y desarrollar, manteniendo la sesión en constante ejecución, mientras verifica los resultados con otro usuario en otra consola.

Ejemplos

Dos ejemplos breves para ilustrar la advertencia anterior.

Primero, tomamos las siguientes dos líneas:

De pam_unix(8): "El componente de autenticación realiza la tarea de verificar las credenciales (contraseña) de los usuarios. La acción predeterminada de este módulo es no permitir que el usuario acceda a un servicio si su contraseña oficial está en blanco." - siendo lo último para lo que se utiliza . Basta con intercambiar los valores de control y para desactivar la autenticación de contraseña, es decir, cualquier usuario puede iniciar sesión sin proporcionar una contraseña.

Segundo, como ejemplo contrario, por configuración predeterminada de en /etc/pam.d/login, creando el siguiente archivo:

# touch /etc/nologin

da como resultado que ningún usuario que no sea root pueda iniciar sesión (si se permiten inicios de sesión del superusuario, otro valor predeterminado para Arch Linux). Para volver a permitir los inicios de sesión, elimine el archivo. Posiblemente, desde la consola con la que lo creó.

Con eso como fondo, véase #Configuración del apilado y los módulos de PAM para configuraciones de casos de uso particulares.

Configuración guiada

Esta sección proporciona una descripción general del contenido que detalla cómo aplicar cambios a la configuración de PAM y cómo integrar nuevos módulos PAM especiales en la pila de PAM. Tenga en cuenta que, por lo general, se puede acceder a las páginas del manual de los módulos al eliminar la extensión .

Configuración de los parámetros de seguridad

Las siguientes secciones describen ejemplos para cambiar la configuración predeterminada de parámetros de PAM:

Security#Enforcing strong passwords with pam_pwquality

muestra cómo forzar contraseñas seguras con .

Security#Lock out user after three failed login attempts

muestra cómo configurar los limites en los intentos de inicio de sesión con pam_faillock.so.

Security#Allow only certain users

limita los inicios de sesión de usuario con .

Realtime process management#Configuring PAM and Security#Limit amount of processes

detalla cómo configurar los límites del proceso del sistema con .

Environment variables#Using pam_env

muestra ejemplos para establecer variables de entorno a través de .

Configuración del apilado y los módulos de PAM

Los siguientes artículos detallan cómo cambiar el #Apilado base de PAM para casos de uso especiales.

Módulos PAM de los repositorios oficiales:

pam_mount

ejemplos detallados para utilizar para montar automáticamente las rutas de directorio cifradas en el inicio de sesión del usuario.

ECryptfs#Auto-mounting

utiliza pam_ecryptfs.so para montar automáticamente un directorio cifrado.

Dm-crypt/Mounting at login (Español)

muestra cómo utilizar para ejecutar un script personalizado en un inicio de sesión de usuario.

Active Directory integration#Configuring PAM

utiliza y para que los usuarios se identifiquen a través de servicios Active Directory (LDAP, Kerberos).

LDAP authentication con su sección LDAP authentication#NSS and PAM

es un artículo sobre la integración de la autenticación de cliente o servidor LDAP con .

YubiKey#Linux user authentication with PAM

se basa en en la pila de PAM para activar la autenticación a través del protocolo propietario Yubikey.

pam_oath

muestra un ejemplo para implementar la autenticación de dos factores (two-factor) basada en software con pam_oath.so.

fprint

emplea para configurar la autenticación mediante huellas digitales.

Módulos PAM del repositorio de usuarios de Arch:

pam_usb

muestra cómo configurar para utilizar un dispositivo USB para autenticar, opcionalmente, mediante dos factores.

SSH keys#pam_ssh

utiliza para autenticar como un usuario remoto.

pam_abl

explica cómo se puede utilizar para limitar los ataques de fuerza bruta a través de ssh.

EncFS

puede ser montado automáticamente a través pam_encfs.so.

Google Authenticator

muestra cómo configurar la autenticación de dos factores con .

Very Secure FTP Daemon#PAM with virtual users

explica cómo configurar un chroot FTP con para autenticar usuarios sin una cuenta local de sistema.

Otros paquetes de PAM

Aparte de los paquetes mencionados hasta ahora, el repositorio de usuarios de Arch Contiene varios módulos y herramientas PAM adicionales.

Las utilidades de propósito general relacionadas con PAM son:

Tenga en cuenta que AUR cuenta con una etiqueta de palabra clave para PAM, pero no todos los paquetes disponibles se actualizan para incluirlo. Por lo tanto, puede ser necesario buscar en la descripción del paquete.

Véase también

linux-pam.org - La página de inicio del proyecto
Entendiendo y configurando PAM - Un artículo introductorio

gollark: One time it was me, but everyone guessed that.

gollark: O(n↑↑↑n).

gollark: This is obviously true, as a result.

gollark: My lawyer says to say I wrote #5.

gollark: Too late, I memorized all Python documentation.

This article is issued from Archlinux. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.