So überprüfen Sie, ob ein PAM-Modul in Linux konfiguriert ist

Einführung

In diesem Lab erfahren Sie, wie Sie prüfen können, ob ein PAM (Pluggable Authentication Modules)-Modul in Linux konfiguriert ist. Wir werden die Standardorte für PAM-Konfigurationsdateien untersuchen und deren Inhalte analysieren, um zu verstehen, wie verschiedene Dienste PAM für die Authentifizierung und andere Sicherheitsfunktionen nutzen.

Sie beginnen damit, die Inhalte des Verzeichnisses /etc/pam.d/ aufzulisten, um dienstspezifische PAM-Konfigurationsdateien zu identifizieren. Anschließend lernen Sie, wie Sie die Inhalte dieser Konfigurationsdateien mit dem Befehl cat anzeigen, um die spezifischen PAM-Module und Regeln zu verstehen, die auf einen Dienst angewendet werden. Abschließend werden Sie das Verzeichnis /lib/security untersuchen, um die auf dem System verfügbaren PAM-Moduldateien zu sehen.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL linux(("Linux")) -.-> linux/BasicFileOperationsGroup(["Basic File Operations"]) linux/BasicFileOperationsGroup -.-> linux/ls("Content Listing") linux/BasicFileOperationsGroup -.-> linux/cat("File Concatenating") subgraph Lab Skills linux/ls -.-> lab-558745{{"So überprüfen Sie, ob ein PAM-Modul in Linux konfiguriert ist"}} linux/cat -.-> lab-558745{{"So überprüfen Sie, ob ein PAM-Modul in Linux konfiguriert ist"}} end

Überprüfen der PAM-Konfiguration mit ls /etc/pam.d

In diesem Schritt beginnen wir mit der Erkundung von PAM (Pluggable Authentication Modules). PAM ist ein leistungsstarkes Framework, das Systemadministratoren ermöglicht, zu konfigurieren, wie Anwendungen Benutzer authentifizieren. Anstatt dass jede Anwendung die Authentifizierung selbst verwaltet, können sie PAM nutzen, das eine zentrale und flexible Möglichkeit bietet, Authentifizierung, Autorisierung und Kontoverwaltung zu verwalten.

Stellen Sie sich PAM als eine Reihe von austauschbaren Bausteinen für die Authentifizierung vor. Sie können verschiedene Module einbinden, um verschiedene Authentifizierungsmethoden (wie Passwörter, Smartcards oder sogar Biometrie) zu verwalten, ohne die Anwendung selbst zu ändern.

Die Konfigurationsdateien für PAM befinden sich normalerweise im Verzeichnis /etc/pam.d/. Jede Datei in diesem Verzeichnis entspricht in der Regel einem bestimmten Dienst oder einer bestimmten Anwendung, die PAM verwendet, wie z. B. login, sudo, ssh usw.

Lassen Sie uns die Inhalte des Verzeichnisses /etc/pam.d/ auflisten, um zu sehen, welche PAM-Konfigurationsdateien auf diesem System vorhanden sind. Wir verwenden den Befehl ls, der zum Auflisten von Verzeichnisinhalten dient.

Öffnen Sie Ihr Terminal, wenn es noch nicht geöffnet ist. Denken Sie daran, dass Sie das Symbol für das Xfce Terminal auf der linken Seite Ihres Desktops finden können.

Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:

ls /etc/pam.d/

Sie sollten eine Liste von Dateien sehen, ähnlich wie diese (die genaue Liste kann je nach Systemkonfiguration etwas variieren):

atd
chfn
chpasswd
chsh
cron
...
sudo
su
systemd-user
...

Jede hier aufgeführte Datei ist eine PAM-Konfigurationsdatei für einen bestimmten Dienst. Beispielsweise enthält die Datei sudo die PAM-Konfiguration für den sudo-Befehl, und die Datei login enthält die Konfiguration für Benutzeranmeldungen.

Durch die Auflistung dieser Dateien können Sie sich ein Bild davon machen, welche Dienste auf dem System PAM für die Authentifizierung und andere sicherheitsrelevante Aufgaben verwenden.

Klicken Sie auf Weiter, um mit dem nächsten Schritt fortzufahren.

Überprüfen der PAM-Einstellungen mit cat /etc/pam.conf

Im vorherigen Schritt haben wir die einzelnen PAM-Konfigurationsdateien in /etc/pam.d/ gesehen. Während die meisten modernen Systeme die Verzeichnisstruktur /etc/pam.d/ verwenden, können einige ältere Konfigurationen oder spezielle Einstellungen immer noch eine einzelne, zentrale Konfigurationsdatei nutzen: /etc/pam.conf.

Die Datei /etc/pam.conf, falls sie existiert und verwendet wird, enthält Regeln für verschiedene Dienste, Modultypen, Steuerflags und die spezifischen PAM-Module, die verwendet werden sollen. Jede Zeile in dieser Datei definiert in der Regel eine Regel für einen bestimmten Dienst.

Lassen Sie uns überprüfen, ob die Datei /etc/pam.conf existiert, und ihren Inhalt mit dem Befehl cat anzeigen. Der Befehl cat wird verwendet, um den Inhalt von Dateien anzuzeigen.

Geben Sie den folgenden Befehl in Ihrem Terminal ein und drücken Sie die Eingabetaste:

cat /etc/pam.conf

Auf diesem System werden Sie wahrscheinlich eine Ausgabe sehen, die darauf hinweist, dass die Datei nicht existiert oder leer ist. Dies liegt daran, dass, wie erwähnt, das System hauptsächlich das Verzeichnis /etc/pam.d/ für PAM-Konfigurationen verwendet.

cat: /etc/pam.conf: No such file or directory

Diese Ausgabe bestätigt, dass das System auf die einzelnen Dateien in /etc/pam.d/ anstelle einer einzigen /etc/pam.conf-Datei setzt. Das Verständnis dieses Unterschieds ist wichtig, wenn Sie mit verschiedenen Linux-Distributionen oder älteren Systemen arbeiten.

Auch wenn /etc/pam.conf auf diesem speziellen System nicht verwendet wird, ist es für ein vollständiges Verständnis von PAM von Wert, über seine Existenz und seinen Zweck Bescheid zu wissen.

Klicken Sie auf Weiter, um mit dem nächsten Schritt fortzufahren.

Prüfen der PAM-Module in /lib/security

In den vorherigen Schritten haben wir uns die PAM-Konfigurationsdateien angesehen. Diese Dateien sagen PAM, welche Module für verschiedene Dienste verwendet werden sollen. Jetzt schauen wir uns an, wo die eigentlichen PAM-Module auf dem System gespeichert sind.

PAM-Module sind typischerweise geteilte Bibliotheken (Dateien, die mit .so enden), die den Code für bestimmte Authentifizierungs-, Autorisierungs-, Konto- oder Sitzungsverwaltungsaufgaben enthalten. Diese Module befinden sich normalerweise in einem Verzeichnis wie /lib/x86_64-linux-gnu/security/ oder /lib/security/. Auf diesem System befinden sie sich in /lib/x86_64-linux-gnu/security/.

Lassen Sie uns die Inhalte des Verzeichnisses /lib/x86_64-linux-gnu/security/ auflisten, um die verfügbaren PAM-Module zu sehen. Wir verwenden erneut den Befehl ls.

Geben Sie den folgenden Befehl in Ihrem Terminal ein und drücken Sie die Eingabetaste:

ls /lib/x86_64-linux-gnu/security/

Sie werden eine lange Liste von Dateien sehen, wobei jede Datei ein anderes PAM-Modul darstellt. Die Dateinamen beginnen normalerweise mit pam_, gefolgt vom Namen des Moduls, und enden mit .so.

pam_access.so
pam_cap.so
pam_chauthtok.so
pam_cracklib.so
...
pam_unix.so
pam_usw.so
pam_winbind.so

Beispielsweise ist pam_unix.so ein gängiges Modul für die traditionelle Unix-Passwortauthentifizierung. pam_cracklib.so wird verwendet, um die Stärke von Passwörtern zu prüfen.

Durch die Untersuchung dieses Verzeichnisses können Sie sich ein Bild von den verschiedenen Authentifizierungs- und Sicherheitsfunktionen machen, die über PAM auf diesem System verfügbar sind. Die Konfigurationsdateien in /etc/pam.d/ verweisen auf diese .so-Dateien, um den Authentifizierungsprozess für jeden Dienst zu definieren.

Das Verständnis der Beziehung zwischen den Konfigurationsdateien in /etc/pam.d/ und den Moduldateien in /lib/x86_64-linux-gnu/security/ ist der Schlüssel zum Verständnis, wie PAM funktioniert.

Klicken Sie auf Weiter, um dieses Lab abzuschließen.

Zusammenfassung

In diesem Lab haben wir begonnen, PAM (Pluggable Authentication Modules, anpassbare Authentifizierungsmodule) in Linux zu untersuchen. Wir haben gelernt, dass PAM ein flexibles Framework für die Verwaltung von Authentifizierung, Autorisierung und Kontoverwaltung für verschiedene Dienste bietet. Wir haben begonnen, indem wir die Inhalte des Verzeichnisses /etc/pam.d/ mit dem Befehl ls aufgelistet haben, um die einzelnen PAM-Konfigurationsdateien für verschiedene Dienste wie sudo, login und ssh zu identifizieren. Dies hat uns einen ersten Überblick darüber gegeben, welche Dienste auf dem System PAM nutzen.