PAM

Wprowadzenie

System PAM jest bardzo ważnym rozszerzeniem mechanizmów bezpieczeństwa w systemie GNU/Linux. Jego uniwersalnoć pozwala na opracowanie specjalnych metod autentykacji dla istniejšcych usług w sieciach komputerowych, a otwarta architektura umożliwia jego dowolnš rozbudowę i wsparcie dla nowych technologii autentykacji.

PAM (Pluggable Authentication Modules - Wstawialne Moduły Autentykacji) jest elastycznym systemem autentykacji użytkowników umożliwiajšcym tworzenie aplikacji całkowicie niezależnych od samej metody autentykacji. Nie narzuca on żadnych metod oraz nie ma ograniczeń na ich tworzenie. PAM używa zestawu "modułów autentykacyjnych", które umożliwiajš implementację dowolnych metod autentykacji i używanie ich z dowolnymi aplikacjami.

System został rozwinięty w firmie SunSoft i przystosowany do pracy w systemie Solaris. Jego standard jest opisany przez V.Samara i R.Schemersa w dokumencie OSF RFC 86.0. "Unified Login with Pluggable Authentication Modules (PAM)".

Za implementację systemu dla platformy GNU/Linux jest odpowiedzialny Andrew G.Morgan (morgan@ftp.kernel.org). Ta implementacja nosi nazwę Linux-PAM i posiada ona szereg rozszerzeń względem oryginalnej implementacji, takie jak modularna konfiguracja i możliwoć hierarchicznej autentykacji.

Integracja PAM w dystrybucji systemu GNU/Linux jest złożona i wymaga rekompilacji wielu programów. W zwišzku z tym nie wszystkie dystrybucje używajš PAM. PAM jest wykorzystywany w Caldera Open Linux, Debian/GNU, RedHat Linux (wersje 3.04 wzwyż), SuSE Linux oraz w systemie FreeBSD.

Opis PAM

Linux-PAM jest systemem bibliotek, które zajmujš sie zadaniami autentykacji aplikacji (usług) systemu. Biblioteka daje stabilny i ogólny interfejs (API - Application Interface), któremu podlegajš w zadaniach autentykacji programy dajšce przywileje

Aplikacja jest wyposażona w interfejs do biblioteki Linux-PAM i jest niezależna od metody autentykacji. Aby zweryfikować tożsamoć użytkownika, aplikacja komunikuje się z Linux-PAM. System PAM okrela na podstawie konfiguracji (odpowiedniej dla danej aplikacji) sposób autentykacji i okrela które moduły i w jaki sposób będę realizowały autentykację. Aplikacja może opcjonalnie udostępniać PAM własny moduł realizujšcy konwersację z modułami PAM. Po ustaleniu uprawnień PAM przesyła odpowiednie informacje o uprawnieniach użytkownika do aplikacji.

Uproszczony schemat architektury z wykorzystaniem PAM:

Schemat architektury PAM dla wielopoziomowej autentykacji:

Moduły PAM

System PAM ma cztery podstawowe grupy modułów, zarzšdzajšce czterema grupami zadań:

autentykacjš (ang. authentication management) - moduł auth. Ten moduł umożliwia identyfikację użytkownika na podstawie hasła lub innych metod. Oprócz tego ma możliwoć przypisania użytkownika do odpowiedniej grupy.
kontami (ang. account management) - moduł account. Przez zarzšdzanie kontami rozumie się zarzšdzanie niezależne od autentykacji użytkowników. Moduł ustala uprawnienia na podstawie dostępnych zasobów systemu, pory dnia, czy lokalizacji użytkownika.
sesjš (ang. session management) - moduł session. Zarzšdzanie sesjš obejmuje działania, jakie system podejmuje przed otwarciem czy zamknięciem sesji użytkownika. Działania te mogš obejmować rejestrowanie informacji o użytkowniku, modyfikacje rodowiska lub montowanie odpowiednich systemów plików.
hasłami (ang. password management) - moduł password. Ten moduł jest odpowiedzialny za uaktualnianie baz danych o użytkownikach, zawierajšcych ich hasła, dane osobowe, czy listy uprawnień.

Dzięki systemowi PAM to administrator ma możliwoć pełnego wyboru mechanizmów autentykacji dla całego systemu i każdej aplikacji z osobna. Przez odpowiedniš konfigurację można całkowicie wyłšczyć autentykację (przy pomocy modułu pam_permit). Z drugiej strony można wymusić wieloetapowš autentykację na podstawie hasła jednorazowego (pam_pwgen), systemu LDAP (pam_ldap), linii papilarnych (pam_biomouseplus), kart dostępu (SecureID, pam_cryptocard), czy skaningu siatkówki.

Konfiguracja systemu

Konfiguracja PAM znajduje się w pliku /etc/pam.conf lub w plikach w katalogu /etc/pam.d. Ta druga wersja jest nowsza i wygodniejsza. Składnia plików konfiguracyjnych jest praktycznie w obydwóch przypadkach identyczna.

Plik pam.conf
Plik konfiguracyjny /etc/pam.conf składa się z lini o następujšcej składni:
[service-name] [module-type] [control-flag] [module-path] [arguments]

W przypadku plików w katalogu /etc/pam.d różnica jest tylko taka, że każdy plik odpowiada jednej usłudze. Nazwa pliku jest taka sama jak pole service-name, a linie w pliku zawierajš pozostałe cztery pola. Każda linia odpowiada pojedynczemu modułowi PAM dla konkretnej usługi. Stosowanie plików konfiguracyjnych w katalogu /etc/pam.d jest rozwišzaniem bardziej uniwersalnym i zalecanym.

Znaczenie pól jest następujšce:

service-name - oznacza typ usługi wymagajšcej metody autoryzacji, na przykład login, su, ftpd,
module-type - jeden z opisanych powyżej czterech typów modułów: auth, account, session, password,
control-flag - to pole definiuje reakcję systemu PAM na rezultat pracy modułu.
Pole ma następujšcš składnię:
[wartoć1=działanie1 wartoć2=działanie2 ...]
Pole wartoć oznacza jeden z około 30 różnych wartoci zwracanych przez moduł, dotyczšcych przebiegu autentykacji, na przykład: user_unknown, acct_expired, try_again.
Pole działanie może przyjmować jednš z 6 wartoci: ignore, ok, done, bad, die, reset. Oznaczajš one działanie, jakie biblioteka ma podjšć po otrzymaniu kodu o podanej wartoci.
Na przykład ok oznacza, że kod jest do zaakceptowania i autentykacja ma się zakończyć sukcesem, a pole bad oznacza sytuację odwrotnš.
Istnieje jeszcze uproszczona, starsza składnia definiowania control-flag. Polega ona na podaniu jednego z 4 słów kluczowych: required, requisite, sufficient i optional. Wskazujš one na rolę, jakš ma odgrywać moduł. Na przykład słowo required oznacza, że pomylna autentykacja przy pomocy tego modułu jest konieczna dla całego procesu autentykacji.

module-path - pełna cieżka dostępu do danego modułu, najczęciej /lib/security/pam_nazwamodułu.so.
arguments - opcjonalne argumenty dla modułu, przekazywane mu przez linię poleceń, wpływajšce na jego pracę. Argumenty sš różne dla konkretnych modułów. Oprócz tego jest grupa argumentów standardowych. Wszystkie moduły powinny przyjmować ogólne argumenty takie jak: debug, no_warn, use_first_pass, try_first_pass, expose_account.

Stosowanie plików konfiguracyjnych w katalogu /etc/pam.d ma różne zalety, takie jak łatwiejsza rekonfiguracja, możliwoć używania linków symbolicznych dla tych samych metod autentykacji, oraz ułatwione zarzšdzanie pakietami (każdy pakiet DEB, lub RPM może dodawać własny plik z metodš autentykacji).

Narzędzia i moduły
O sile systemu PAM stanowi uniwersalne API umożliwiajšce rozwijanie różnych modułów autentykacji. W standardowej dystrybucji Linux-PAM jest ponad 20 różnych modułów. Oprócz tego dostępnych jest ponad 40 modułów dodatkowych dostępnych jako osobne pakiety. Listę tych wszystkich modułów, wraz z opisem można znaleć na stronach projektu Linux-PAM. Poniższa lista zawiera informację o niektórych wybranych modułach:

pam_cracklib eliminuje słabe hasła
pam_deny realizuje odmowę dostępu
pam_ftp obsługuje anonimowe ftp
pam_group przydziela do grup użytkowników
pam_limits ogranicza dostęp na podstawie dostępnych zasobów
pam_listfile reguluje dostęp na podstawie list użytkowników
pam_tally realizuje odmowę dostępu w zależnoci od liczby nieudanych logowań
pam_unix realizuje standardowe uniksowe zarzšdzanie autentykacjš
pam_warn moduł logujšcy informacje do Syslog

mod_auth_pam moduł autentykujšcy dla serwera Apache, sš również inne spełniajšce podobne funkcje
pam_smb grupa modułów współpracujšcych z serwerem Samba
pam_mysql autentykacja na podstawie bazy danych MySQL
pam_ldap współpraca z serwisem LDAP
pam_proftpd autentykacja dla serwera ProFtpd
pam_nw_auth współpraca z sieciš Netware, również NDS

Moduł pam_unix realizuje wszystkie funkcje zwišzane z tradycyjnym modelem autentykacji w Uniksie, opartym na pliku /etc/passwd. Dzięki niemu można skonfigurować system używajšcy PAM tak, aby naladował działanie systemu haseł Uniksa.

Moduły dodatkowe umożliwiajš wprowadzenie rozproszonego systemu autentykacji wykorzystujšcego sieć komputerowš. Dostępne sš moduły umożliwiajšce połšczenia z sieciš opartš na serwisach LDAP, NDS czy Samba.

Przykłady zastosowań

Liczba dostępnych modułów, a co za tym idzie liczba możliwych sposobów ich konfiguracji jest tak duża, że trudno w sposób wyczerpujšcy omówić ich praktyczne konfigurowanie. Można co najwyżej podać kilka konkretnych przykładów konfiguracji.

Po pierwsze, konfiguracja PAM powinna zawierać plik /etc/pam.d/other okrelajšcy domylne zachowanie systemu dla usług nie majšcych osobnych metod autentykacji.

Plik /etc/pam.d/other może wyglšdać następujšco:
------------------------------------------------------------------------
auth required /lib/security/pam_warn.so
auth required /lib/security/pam_unix.so
account required /lib/security/pam_warn.so
account required /lib/security/pam_unix.so
password required /lib/security/pam_warn.so
password required /lib/security/pam_unix.so
session required /lib/security/pam_warn.so
session required /lib/security/pam_unix.so
------------------------------------------------------------------------

Przy takiej konfiguracji usługi nie majšce własnych metod autentykacji będš obsługiwane w standardowy sposób, na podstawie pliku /etc/passwd. Dodatkowo, moduł pam_warn będzie rejestrował dostęp do usługi przez Syslog.
Jeżeli w powyższym przykładzie każde wystšpienie modułu pam_unix.so, zastšpi się przez pam_deny.so to dostęp do usług, które nie majš zdefiniowanych osobno metod autentykacji będzie zabroniony.

Przykład ilustruje ważnš cechę PAM, a mianowicie hierarchiczne łšczenie modułów. Dla każdej usługi (w tym przypadku other) i każdego typu modułu (na przykład auth) można podać kilka modułów, jeden po drugim (ang. stacking). W takim przypadku sš one wykonywane kolejno i w zależnoci od wyniku działania konkretnego modułu możliwe jest przerywanie sekwencji. Przy pomocy modułu pam_if istnieje nawet możliwoć warunkowego wykonywania sekwencji modułów.

Przykład rozbudowanej konfiguracji PAM dla programu login może wyglšdać tak:
------------------------------------------------------------------------
auth requisite /lib/security/pam_unix.so nullok
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_nologin.so
auth required /lib/security/pam_env.so
auth required /lib/security/pam_mail.so
account required /lib/security/pam_unix.so
password required /lib/security/pam_unix.so
session required /lib/security/pam_unix.so
session required /lib/security/pam_limits.so
------------------------------------------------------------------------

W trakcie autentykacji jest sprawdzany terminal z którego użytkownik się loguje, istnienie blokady logowania, ustawiane jest rodowisko pracy i wywietlana jest informacja o poczcie elektronicznej. Parametry sesji sš regulowane w zależnoci od dostępnych zasobów.

Inny, prosty przykład, wykorzystujšcy listę użytkowników uprawnionych do logowania jest następujšcy:
------------------------------------------------------------------------
auth required /lib/security/pam_listfile.so onerr=fail item=user sense=allow file=/etc/pam-login_users
auth required /lib/security/pam_unix.so
account required /lib/security/pam_unix.so
password required /lib/security/pam_unix.so
session required /lib/security/pam_unix.so
------------------------------------------------------------------------

Przykład konfiguracji usługi Ftp z uwzględnieniem dostępu anonimowego:
------------------------------------------------------------------------
ftpd auth sufficient /usr/lib/security/pam_ftp.so
ftpd auth required /usr/lib/security/pam_unix_auth.so use_first_pass
ftpd auth required /usr/lib/security/pam_listfile.so onerr=succeed item=user sense=deny file=/etc/ftpusers
------------------------------------------------------------------------

Pierwszy z modułów realizuje dostęp przez anonimowe Ftp, drugi typowy dostęp dla użytkowników, a trzeci sprawdza, czy użytkownik nie ma zabronionego dostępu do usługi w pliku /etc/ftpusers.
W przypadku użycia opcji debug lub modułu pam_warn.so system PAM rejestruje zdarzenia przy pomocy Syslog. Te komunikaty mogš wyglšdać następujšco:
login: pam_unix session started for user root, service login
xdm: pam_unix session finished for user gjn, service xdm

PAM

Wprowadzenie

Opis PAM

Moduły PAM

Konfiguracja systemu

Przykłady zastosowań

pomoc do PAMa