Глава 4. Дополнительные модули аутентификации
В этой главе:
1. Допустимая минимальная длина пароля
2. Таблица управления доступом входа в систему
3. Удаление из системы ненужных привилегированных пользователей
4. Наложение ограничений на ресурсы, выделяемые пользователям системы
5. Управление временем доступа к службам
6. Ограничение использования команды su root
7. Использование команды sudo вместо su для регистрации в качестве суперпользователя
Дополнительные модули аутентификации (РАМ – Pluggable Authentication Modules) включают дина-
мические библиотеки, которые дают администраторам возможность выбора методов подтверждения под-
линности пользователей.
PАМ разрешает применение различных опознавательных схем. Это достигается использованием биб-
лиотеки функций, которую используют приложения для идентификации пользователей. SSH, POP, IMAP и
т. д. – приложения, использующие спецификацию PAM. Для них может быть изменен метод ввода пароля,
например, не с консоли, а с голоса или по отпечаткам пальцев, путем изменения РАМ-модулей без необхо-
димости перезаписи самих кодов приложений.
Конфигурационные файлы модулей PAM расположены в каталоге /etc/pam.d, а сами модули (ди-
намические библиотеки) расположены в каталоге /lib/security. Каталог /etc/pam.d содержит фай-
лы, названные в соответствии с использующими их приложениями, например, SSH, POP, IMAP и т. д., ука-
зывающие на заданный по умолчанию конфигурационный файл other.
В этой главе будут рассмотрены некоторые настройки PAM, улучшающие безопасность системы.
Допустимая минимальная длина пароля
Длина пароля при использовании настройки PAM управляется пятью параметрами: minlen,
dcredit, ucredit, lcredit и ocredit.
Параметр minlen=N определяет допустимое минимальное количество символов в новом пароле.
Допустимое минимальное количество символов в пароле уменьшается на величину, равную значению
параметров:
• dcredit - используемой в пароле цифры;
• ucredit - для каждого используемого в пароле символа в верхнем регистре;
• lcredit - для каждого используемого в пароле символа в нижнем регистре;
• ocredit - для каждого используемого в пароле специального символа.
Значения параметров dcredit, ucredit, lcredit и ocredit равны единице.
Для задания приемлемого минимального количества символов длины пароля, например, равного 12, в
файле /etc/pam.d/system-auth раскомментируйте строку:
#password required /lib/security/pam_cracklib.so retry=3
и добавьте параметр minlen=12:
password required /lib/security/pam_cracklib.so retry=3 minlen=12
Теперь попробуем установить пароль из девяти символов – Wsvhl_Faz. Пароль благополучно уста-
новится. Что и следовало ожидать. Максимально допустимая длина пароля (12 символов) уменьшилась на 3
из-за одного специального символа “_” и двух букв в верхнем регистре “W” и “F”.
Таблица управления доступом входа в систему
В каталоге /etc/security находится файл access.conf, с помощью которого можно ограни-
Метки: root, su, sudo, аутентификация, логин, модули, пароли, пользователи, службы, суперпользователь