hacktricks/linux-hardening/linux-post-exploitation/pam-pluggable-authentication-modules.md

5.4 KiB

PAM - Pluggable Authentication Modules

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

Basic Information

PAM (Pluggable Authentication Modules) inafanya kazi kama mekanizma ya usalama ambayo inasimamia utambulisho wa watumiaji wanaojaribu kufikia huduma za kompyuta, ikidhibiti ufikiaji wao kulingana na vigezo mbalimbali. Ni kama mlango wa kidijitali, ikihakikisha kwamba ni watumiaji walioidhinishwa pekee wanaweza kushiriki na huduma maalum huku ikipunguza matumizi yao ili kuzuia mzigo wa mfumo.

Configuration Files

  • Mifumo ya Solaris na UNIX kwa kawaida hutumia faili moja kuu ya usanidi iliyoko katika /etc/pam.conf.
  • Mifumo ya Linux inapendelea mbinu ya directory, ikihifadhi usanidi maalum wa huduma ndani ya /etc/pam.d. Kwa mfano, faili ya usanidi wa huduma ya kuingia inapatikana katika /etc/pam.d/login.

Mfano wa usanidi wa PAM kwa huduma ya kuingia unaweza kuonekana kama ifuatavyo:

auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_nologin.so
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_unix_auth.so try_first_pass
account sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_unix_acct.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_ldap.so
password required /lib/security/pam_pwdb.so use_first_pass
session required /lib/security/pam_unix_session.so

PAM Usimamizi wa Mifumo

Mifumo hii, au vikundi vya usimamizi, inajumuisha auth, account, password, na session, kila moja ikiwa na jukumu tofauti katika mchakato wa uthibitishaji na usimamizi wa kikao:

  • Auth: Inathibitisha utambulisho wa mtumiaji, mara nyingi kwa kuomba nenosiri.
  • Account: Inashughulikia uthibitishaji wa akaunti, ikikagua hali kama uanachama wa kikundi au vizuizi vya wakati wa siku.
  • Password: Inasimamia masasisho ya nenosiri, ikiwa ni pamoja na ukaguzi wa ugumu au kuzuia mashambulizi ya kamusi.
  • Session: Inasimamia vitendo wakati wa kuanza au kumaliza kikao cha huduma, kama vile kuunganisha saraka au kuweka mipaka ya rasilimali.

Udhibiti wa Moduli za PAM

Udhibiti unatoa mwitikio wa moduli kwa mafanikio au kushindwa, ukihusisha mchakato mzima wa uthibitishaji. Hizi ni pamoja na:

  • Required: Kushindwa kwa moduli inayohitajika kunasababisha kushindwa kwa mwisho, lakini tu baada ya moduli zote zinazofuata kukaguliwa.
  • Requisite: Kumaliza mara moja mchakato wakati wa kushindwa.
  • Sufficient: Mafanikio yanakwepa ukaguzi wa moduli zingine za mfumo huo isipokuwa moduli inayofuata ikishindwa.
  • Optional: Inasababisha kushindwa tu ikiwa ndiyo moduli pekee katika safu.

Mfano wa Hali

Katika usanidi wenye moduli nyingi za uthibitishaji, mchakato unafuata mpangilio mkali. Ikiwa moduli ya pam_securetty inakuta terminal ya kuingia haina ruhusa, kuingia kwa root kunazuiwa, lakini moduli zote bado zinashughulikiwa kutokana na hadhi yake ya "required". Moduli ya pam_env inaweka mabadiliko ya mazingira, ambayo yanaweza kusaidia katika uzoefu wa mtumiaji. Moduli za pam_ldap na pam_unix zinafanya kazi pamoja kuthibitisha mtumiaji, huku pam_unix ikijaribu kutumia nenosiri lililotolewa awali, ikiongeza ufanisi na kubadilika katika mbinu za uthibitishaji.

Marejeo

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}