hacktricks/linux-hardening/linux-post-exploitation/pam-pluggable-authentication-modules.md

6.7 KiB

PAM - Pluggable Authentication Modules

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

WhiteIntel

WhiteIntel is 'n dark-web aangedrewe soekenjin wat gratis funksies bied om te kontroleer of 'n maatskappy of sy kliënte gekompromitteer is deur steelmalware.

Die primêre doel van WhiteIntel is om rekening-oorneeminge en lospryse-aanvalle te bekamp wat voortspruit uit inligtingsteelmalware.

Jy kan hul webwerf besoek en hul enjin gratis probeer by:

{% embed url="https://whiteintel.io" %}


Basiese Inligting

PAM (Pluggable Authentication Modules) tree op as 'n sekuriteitsmeganisme wat die identiteit van gebruikers wat probeer om toegang tot rekenaardienste te verkry, verifieer, en hul toegang beheer op grond van verskeie kriteria. Dit is soortgelyk aan 'n digitale wag, wat verseker dat slegs gemagtigde gebruikers kan skakel met spesifieke dienste terwyl hul gebruik moontlik beperk word om sisteemoorlading te voorkom.

Konfigurasie-lêers

  • Solaris- en UNIX-gebaseerde stelsels gebruik tipies 'n sentrale konfigurasie-lêer wat geleë is by /etc/pam.conf.
  • Linux-stelsels verkies 'n lêerbenadering, waar diens-spesifieke konfigurasies binne /etc/pam.d gestoor word. Byvoorbeeld, die konfigurasie-lêer vir die aanmeldingsdiens word gevind by /etc/pam.d/login.

'n Voorbeeld van 'n PAM-konfigurasie vir die aanmeldingsdiens kan soos volg lyk:

auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_nologin.so
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_unix_auth.so try_first_pass
account sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_unix_acct.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_ldap.so
password required /lib/security/pam_pwdb.so use_first_pass
session required /lib/security/pam_unix_session.so

PAM-bestuursgebiede

Hierdie gebiede, of bestuursgroepe, sluit auth, rekening, wagwoord, en sessie in, elk verantwoordelik vir verskillende aspekte van die verifikasie en sessiebestuurproses:

  • Auth: Bevestig die gebruiker se identiteit, dikwels deur 'n wagwoord te versoek.
  • Rekening: Hanteer rekeningverifikasie, deur voorwaardes soos groepslidmaatskap of tyd-van-dag beperkings te kontroleer.
  • Wagwoord: Bestuur wagwoordopdaterings, insluitend kompleksiteitskontroles of die voorkoming van woordeboekaanvalle.
  • Sessie: Bestuur aksies tydens die begin of einde van 'n diensessie, soos die koppel van gids of die instel van hulpbrongrense.

PAM-modulekontroles

Kontroles bepaal die module se reaksie op sukses of mislukking, wat die algehele verifikasieproses beïnvloed. Dit sluit in:

  • Vereis: Mislukking van 'n vereiste module lei uiteindelik tot mislukking, maar slegs nadat alle volgende modules nagegaan is.
  • Vereiste: Onmiddellike beëindiging van die proses by mislukking.
  • Voldoende: Sukses verby die res van dieselfde gebied se kontroles tensy 'n volgende module misluk.
  • Opsioneel: Veroorsaak slegs mislukking as dit die enigste module in die stap is.

Voorbeeldscenario

In 'n opstelling met meervoudige verifikasiemodules volg die proses 'n streng volgorde. As die pam_securetty-module vind dat die aanmeldingsterminal ongemagtig is, word root-aanmeldings geblokkeer, maar alle modules word steeds verwerk as gevolg van sy "vereiste" status. Die pam_env stel omgewingsveranderlikes in, wat moontlik kan help met gebruikerservaring. Die pam_ldap en pam_unix-modules werk saam om die gebruiker te verifieer, met pam_unix wat probeer om 'n voorheen voorsiene wagwoord te gebruik, wat doeltreffendheid en buigsaamheid in verifikasiemetodes verbeter.

Verwysings

WhiteIntel

WhiteIntel is 'n soekmasjien wat deur die donker web aangedryf word en gratis funksies bied om te kontroleer of 'n maatskappy of sy kliënte deur diewe-malware gekompromitteer is.

Die primêre doel van WhiteIntel is om rekeningoorname en lospryse-aanvalle te bekamp wat voortspruit uit inligtingsteel-malware.

Jy kan hul webwerf besoek en hul masjien gratis probeer by:

{% embed url="https://whiteintel.io" %}

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun: