Linux 認証メモ

はじめに

Linuxの認証方式がよくわからなくなるので、メモ

PAM認証方式

参考サイト

PAMとは

PAM | Linux技術者認定 LinuC | LPI-Japan
Linuxを学習する上で出てくる素朴な疑問や、便利なテクニックなどを紹介しています。

PAMの設定について

10.2. PAM 設定ファイルについて Red Hat Enterprise Linux 7 | Red Hat Customer Portal
The Red Hat Customer Portal delivers the knowledge, expertise, and guidance available through your Red Hat subscription.

わかりやすいサイト

Linuxの各アプリケーションが共通して利用する「PAM認証」について
Linuxのユーザ認証に関することならPAM認証におまかせ! 前回はスパムメール対策にユーザー認証を利用することを解説しました。 Linuxではメールサーバだけでなく、多くのアプリケーションでユーザー

SSHの設定例

$ cat sshd
#%PAM-1.0

### auth インターフェース
# ユーザーを認証します。
# パスワードの有効性を要求したり検証したりします
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare

### account インターフェース
# アクセスが許可されたことを確認します。
# ユーザーアカウントの期限が切れたか、または
# ユーザーが 1 日の特定の時間にログインを許可されるかどうかをチェックします。
account    required     pam_nologin.so
account    include      password-auth

### Password インターフェース
# ユーザーのパスワード変更に使用されます。
password   include      password-auth

### Session インターフェース
# ユーザーセッションを設定、管理します。
# このインターフェースのあるモジュールは、ユーザーのホームディレクトリーをマウントしたり、
# ユーザーのメールボックスを利用可能にするなど、アクセスの許可を必要とする追加タスクも実行できます。
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare

pam_sepermit.so

auth       required     pam_sepermit.so

pam_supermit.soのモジュール結果が成功する必要がある。
pam_sepermitモジュールは、SELinuxの実施状態に応じてログインを許可または拒否します。
エントリに登録がされていなければこのモジュールは無視される?

pam_sepermit(8) - Linux man page
The pam_sepermit module allows or denies login depending on SELinux enforcement state.
$ cat /etc/security/sepermit.conf
# /etc/security/sepermit.conf
#
# Each line contains either:
#        - an user name
#        - a group name, with @group syntax
#        - a SELinux user name, with %seuser syntax
# Each line can contain optional arguments separated by :
# The possible arguments are:
#        - exclusive - only single login session will
#          be allowed for the user and the user's processes
#          will be killed on logout

password-auth

auth       substack     password-auth

substackはincludeと似たようなものみたい。
同じ配下の以下の設定を読み込んでいる。

$ pwd
/etc/pam.d

$ cat password-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so try_first_pass nullok
auth        required      pam_deny.so

account     required      pam_unix.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so try_first_pass use_authtok nullok sha512 shadow
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

Kerberos

ほげ

コメント

タイトルとURLをコピーしました