5.6 KiB
PAM - Pluggable Authentication Modules
{% hint style="success" %}
Learn & practice AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.
Temel Bilgiler
PAM (Pluggable Authentication Modules), bilgisayar hizmetlerine erişmeye çalışan kullanıcıların kimliğini doğrulayan bir güvenlik mekanizması olarak işlev görür ve erişimlerini çeşitli kriterlere göre kontrol eder. Bu, yalnızca yetkilendirilmiş kullanıcıların belirli hizmetlerle etkileşimde bulunmasını sağlamak için dijital bir kapı bekçisi gibidir ve sistem aşırı yüklenmelerini önlemek için kullanımını sınırlayabilir.
Konfigürasyon Dosyaları
- Solaris ve UNIX tabanlı sistemler, genellikle
/etc/pam.confkonumunda bulunan merkezi bir konfigürasyon dosyası kullanır. - Linux sistemleri, hizmete özgü konfigürasyonları
/etc/pam.diçinde depolayarak bir dizin yaklaşımını tercih eder. Örneğin, oturum açma hizmetinin konfigürasyon dosyası/etc/pam.d/loginkonumundadır.
Oturum açma hizmeti için bir PAM konfigürasyon örneği şu şekilde görünebilir:
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_nologin.so
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_unix_auth.so try_first_pass
account sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_unix_acct.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_ldap.so
password required /lib/security/pam_pwdb.so use_first_pass
session required /lib/security/pam_unix_session.so
PAM Yönetim Alanları
Bu alanlar veya yönetim grupları, kimlik doğrulama ve oturum yönetimi sürecinin farklı yönlerinden sorumlu olan auth, account, password ve session'ı içerir:
- Auth: Kullanıcı kimliğini doğrular, genellikle bir şifre istemekle.
- Account: Hesap doğrulamasını yönetir, grup üyeliği veya günün saatine bağlı kısıtlamalar gibi koşulları kontrol eder.
- Password: Şifre güncellemelerini yönetir, karmaşıklık kontrolleri veya sözlük saldırılarını önleme dahil.
- Session: Bir hizmet oturumu başlatıldığında veya sona erdiğinde, dizinleri bağlama veya kaynak sınırlarını ayarlama gibi işlemleri yönetir.
PAM Modül Kontrolleri
Kontroller, modülün başarı veya başarısızlığa yanıtını belirler ve genel kimlik doğrulama sürecini etkiler. Bunlar şunları içerir:
- Required: Gerekli bir modülün başarısızlığı, nihai bir başarısızlığa yol açar, ancak yalnızca tüm sonraki modüller kontrol edildikten sonra.
- Requisite: Başarısızlık durumunda sürecin hemen sonlandırılması.
- Sufficient: Başarı, sonraki modül başarısız oluncaya kadar aynı alanın geri kalan kontrollerini atlar.
- Optional: Yalnızca yığın içindeki tek modülse başarısızlığa neden olur.
Örnek Senaryo
Birden fazla auth modülü ile bir kurulumda, süreç katı bir sırayı takip eder. Eğer pam_securetty modülü giriş terminalini yetkisiz bulursa, root girişleri engellenir, ancak "required" durumu nedeniyle tüm modüller yine de işlenir. pam_env ortam değişkenlerini ayarlar, bu da kullanıcı deneyimine yardımcı olabilir. pam_ldap ve pam_unix modülleri, kullanıcıyı kimlik doğrulamak için birlikte çalışır; pam_unix daha önce sağlanan bir şifreyi kullanmaya çalışarak kimlik doğrulama yöntemlerinde verimliliği ve esnekliği artırır.
Referanslar
{% hint style="success" %}
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Support HackTricks
- Check the subscription plans!
- Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
- Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.