7.3 KiB
PAM - Modules d'authentification enfichables
Apprenez le piratage AWS de zéro à héros avec htARTE (Expert Red Team AWS de HackTricks)!
Autres façons de soutenir HackTricks:
- Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT!
- Obtenez le swag officiel PEASS & HackTricks
- Découvrez La famille PEASS, notre collection exclusive de NFTs
- Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
- Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts GitHub.
WhiteIntel
WhiteIntel est un moteur de recherche alimenté par le dark web qui offre des fonctionnalités gratuites pour vérifier si une entreprise ou ses clients ont été compromis par des logiciels malveillants voleurs.
Le but principal de WhiteIntel est de lutter contre les prises de contrôle de compte et les attaques de ransomware résultant de logiciels malveillants volant des informations.
Vous pouvez consulter leur site Web et essayer leur moteur gratuitement sur :
{% embed url="https://whiteintel.io" %}
Informations de base
PAM (Pluggable Authentication Modules) agit comme un mécanisme de sécurité qui vérifie l'identité des utilisateurs tentant d'accéder aux services informatiques, contrôlant leur accès en fonction de divers critères. C'est comme un gardien numérique, garantissant que seuls les utilisateurs autorisés peuvent interagir avec des services spécifiques tout en limitant potentiellement leur utilisation pour éviter les surcharges système.
Fichiers de configuration
- Les systèmes Solaris et UNIX utilisent généralement un fichier de configuration central situé à
/etc/pam.conf
. - Les systèmes Linux préfèrent une approche basée sur les répertoires, stockant les configurations spécifiques aux services dans
/etc/pam.d
. Par exemple, le fichier de configuration pour le service de connexion se trouve à/etc/pam.d/login
.
Un exemple de configuration PAM pour le service de connexion pourrait ressembler à ceci :
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_nologin.so
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_unix_auth.so try_first_pass
account sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_unix_acct.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_ldap.so
password required /lib/security/pam_pwdb.so use_first_pass
session required /lib/security/pam_unix_session.so
Royaumes de gestion PAM
Ces royaumes, ou groupes de gestion, comprennent auth, account, password et session, chacun étant responsable de différents aspects du processus d'authentification et de gestion de session :
- Auth : Valide l'identité de l'utilisateur, souvent en demandant un mot de passe.
- Account : Gère la vérification du compte, vérifiant des conditions telles que l'appartenance à un groupe ou les restrictions horaires.
- Password : Gère les mises à jour de mot de passe, y compris les vérifications de complexité ou la prévention des attaques par dictionnaire.
- Session : Gère les actions au début ou à la fin d'une session de service, telles que le montage de répertoires ou la définition de limites de ressources.
Contrôles des modules PAM
Les contrôles dictent la réponse du module en cas de succès ou d'échec, influençant le processus d'authentification global. Ils comprennent :
- Requis : L'échec d'un module requis entraîne éventuellement un échec, mais seulement après vérification de tous les modules suivants.
- Requis : Arrêt immédiat du processus en cas d'échec.
- Suffisant : Le succès contourne le reste des vérifications du même royaume à moins qu'un module ultérieur ne échoue.
- Facultatif : Ne provoque un échec que s'il est le seul module dans la pile.
Exemple de scénario
Dans une configuration avec plusieurs modules d'authentification, le processus suit un ordre strict. Si le module pam_securetty
trouve le terminal de connexion non autorisé, les connexions root sont bloquées, mais tous les modules sont toujours traités en raison de son statut "requis". Le pam_env
définit des variables d'environnement, aidant potentiellement à l'expérience utilisateur. Les modules pam_ldap
et pam_unix
travaillent ensemble pour authentifier l'utilisateur, pam_unix
tentant d'utiliser un mot de passe précédemment fourni, améliorant l'efficacité et la flexibilité des méthodes d'authentification.
Références
WhiteIntel
WhiteIntel est un moteur de recherche alimenté par le dark web qui offre des fonctionnalités gratuites pour vérifier si une entreprise ou ses clients ont été compromis par des logiciels malveillants voleurs.
Le but principal de WhiteIntel est de lutter contre les prises de contrôle de compte et les attaques de ransomware résultant de logiciels malveillants voleurs d'informations.
Vous pouvez consulter leur site Web et essayer leur moteur gratuitement sur :
{% embed url="https://whiteintel.io" %}
Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!
Autres façons de soutenir HackTricks :
- Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT !
- Obtenez le swag officiel PEASS & HackTricks
- Découvrez The PEASS Family, notre collection exclusive de NFTs
- Rejoignez 💬 le groupe Discord](https://discord.gg/hRep4RUj7f) ou le groupe Telegram ou suivez nous sur Twitter 🐦 @hacktricks_live.
- Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud github repos.