Comment vérifier si un module PAM est configuré sous Linux

Introduction

Dans ce laboratoire, vous apprendrez à vérifier si un module PAM (Pluggable Authentication Modules) est configuré sous Linux. Nous explorerons les emplacements standard des fichiers de configuration PAM et examinerons leur contenu pour comprendre comment différents services utilisent PAM pour l'authentification et d'autres fonctions de sécurité.

Vous commencerez par lister le contenu du répertoire /etc/pam.d/ pour identifier les fichiers de configuration PAM spécifiques à chaque service. Ensuite, vous apprendrez à afficher le contenu de ces fichiers de configuration à l'aide de la commande cat pour comprendre les modules PAM spécifiques et les règles appliquées à un service. Enfin, vous explorerez le répertoire /lib/security pour voir les fichiers de modules PAM disponibles sur le système.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL linux(("Linux")) -.-> linux/BasicFileOperationsGroup(["Basic File Operations"]) linux/BasicFileOperationsGroup -.-> linux/ls("Content Listing") linux/BasicFileOperationsGroup -.-> linux/cat("File Concatenating") subgraph Lab Skills linux/ls -.-> lab-558745{{"Comment vérifier si un module PAM est configuré sous Linux"}} linux/cat -.-> lab-558745{{"Comment vérifier si un module PAM est configuré sous Linux"}} end

Vérifier la configuration PAM avec ls /etc/pam.d

Dans cette étape, nous allons commencer à explorer PAM (Pluggable Authentication Modules). PAM est un puissant cadre (framework) qui permet aux administrateurs système de configurer la manière dont les applications authentifient les utilisateurs. Au lieu que chaque application gère l'authentification elle-même, elles peuvent utiliser PAM, qui offre un moyen centralisé et flexible de gérer l'authentification, l'autorisation et la gestion des comptes.

Imaginez PAM comme un ensemble de blocs de construction interchangeables pour l'authentification. Vous pouvez brancher différents modules pour gérer différentes méthodes d'authentification (comme les mots de passe, les cartes à puce ou même la biométrie) sans modifier l'application elle-même.

Les fichiers de configuration de PAM sont généralement situés dans le répertoire /etc/pam.d/. Chaque fichier dans ce répertoire correspond généralement à un service ou une application spécifique qui utilise PAM, comme login, sudo, ssh, etc.

Listons le contenu du répertoire /etc/pam.d/ pour voir quels fichiers de configuration PAM existent sur ce système. Nous utiliserons la commande ls, qui est utilisée pour lister le contenu d'un répertoire.

Ouvrez votre terminal s'il n'est pas déjà ouvert. N'oubliez pas que vous pouvez trouver l'icône Xfce Terminal sur le côté gauche de votre bureau.

Tapez la commande suivante et appuyez sur Entrée :

ls /etc/pam.d/

Vous devriez voir une liste de fichiers, similaire à ceci (la liste exacte peut varier légèrement en fonction de la configuration du système) :

atd
chfn
chpasswd
chsh
cron
...
sudo
su
systemd-user
...

Chaque fichier répertorié ici est un fichier de configuration PAM pour un service spécifique. Par exemple, le fichier sudo contient la configuration PAM pour la commande sudo, et le fichier login contient la configuration pour les connexions d'utilisateurs.

En listant ces fichiers, vous avez une idée des services sur le système qui utilisent PAM pour l'authentification et d'autres tâches liées à la sécurité.

Cliquez sur Continuer pour passer à l'étape suivante.

Vérifier les paramètres PAM avec cat /etc/pam.conf

Dans l'étape précédente, nous avons vu les fichiers de configuration PAM individuels dans /etc/pam.d/. Bien que la plupart des systèmes modernes utilisent la structure de répertoire /etc/pam.d/, certaines configurations plus anciennes ou des paramétrages spécifiques peuvent toujours utiliser un seul fichier de configuration centralisé : /etc/pam.conf.

Le fichier /etc/pam.conf, s'il existe et est utilisé, contient des règles pour différents services, des types de modules, des indicateurs de contrôle et les modules PAM spécifiques à utiliser. Chaque ligne de ce fichier définit généralement une règle pour un service particulier.

Vérifions si le fichier /etc/pam.conf existe et affichons son contenu à l'aide de la commande cat. La commande cat est utilisée pour afficher le contenu des fichiers.

Tapez la commande suivante dans votre terminal et appuyez sur Entrée :

cat /etc/pam.conf

Sur ce système, vous verrez probablement un message indiquant que le fichier n'existe pas ou est vide. En effet, comme mentionné, le système utilise principalement le répertoire /etc/pam.d/ pour les configurations PAM.

cat: /etc/pam.conf: No such file or directory

Cette sortie confirme que le système s'appuie sur les fichiers individuels dans /etc/pam.d/ plutôt que sur un seul fichier /etc/pam.conf. Comprendre cette distinction est important lorsque vous travaillez avec différentes distributions Linux ou des systèmes plus anciens.

Même si /etc/pam.conf n'est pas utilisé sur ce système spécifique, connaître son existence et son utilité est précieux pour une compréhension complète de PAM.

Cliquez sur Continuer pour passer à l'étape suivante.

Inspecter les modules PAM dans /lib/security

Dans les étapes précédentes, nous avons examiné les fichiers de configuration PAM. Ces fichiers indiquent à PAM quels modules utiliser pour différents services. Maintenant, regardons où sont stockés les modules PAM réels sur le système.

Les modules PAM sont généralement des bibliothèques partagées (fichiers se terminant par .so) qui contiennent le code pour des tâches spécifiques d'authentification, d'autorisation, de gestion de compte ou de session. Ces modules sont généralement situés dans un répertoire comme /lib/x86_64-linux-gnu/security/ ou /lib/security/. Sur ce système, ils sont situés dans /lib/x86_64-linux-gnu/security/.

Listons le contenu du répertoire /lib/x86_64-linux-gnu/security/ pour voir les modules PAM disponibles. Nous allons à nouveau utiliser la commande ls.

Tapez la commande suivante dans votre terminal et appuyez sur Entrée :

ls /lib/x86_64-linux-gnu/security/

Vous verrez une longue liste de fichiers, chacun représentant un module PAM différent. Les noms de fichiers commencent généralement par pam_, suivi du nom du module et se terminent par .so.

pam_access.so
pam_cap.so
pam_chauthtok.so
pam_cracklib.so
...
pam_unix.so
pam_usw.so
pam_winbind.so

Par exemple, pam_unix.so est un module courant utilisé pour l'authentification par mot de passe Unix traditionnelle. pam_cracklib.so est utilisé pour vérifier la force du mot de passe.

L'exploration de ce répertoire vous donne une idée des différentes fonctionnalités d'authentification et de sécurité disponibles via PAM sur ce système. Les fichiers de configuration dans /etc/pam.d/ font référence à ces fichiers .so pour définir le processus d'authentification pour chaque service.

Comprendre la relation entre les fichiers de configuration dans /etc/pam.d/ et les fichiers de module dans /lib/x86_64-linux-gnu/security/ est essentiel pour comprendre le fonctionnement de PAM.

Cliquez sur Continuer pour terminer ce laboratoire.

Résumé

Dans ce laboratoire, nous avons commencé à explorer PAM (Pluggable Authentication Modules, Modules d'authentification modulaires) sous Linux. Nous avons appris que PAM fournit un cadre flexible pour gérer l'authentification, l'autorisation et la gestion des comptes pour divers services. Nous avons commencé par lister le contenu du répertoire /etc/pam.d/ à l'aide de la commande ls pour identifier les fichiers de configuration PAM individuels pour différents services tels que sudo, login et ssh. Cela nous a donné un aperçu initial des services sur le système qui utilisent PAM.