tailieunhanh - Hacking Security Sites part 19

Sufficient: cờ này khác với cờ trên ở chỗ, khi có một module thực hiện thành công nó sẽ thông báo hoàn thành ngay quá trình xác thực, mà không duyệt các module khác nữa. Hacking Security Sites part 19 | Sufficient cờ này khác với cờ trên ở chỗ khi có một module thực hiện thành công nó sẽ thông báo hoàn thành ngay quá trình xác thực mà không duyệt các module khác nữa. Requisite cờ này có ý nói PAM library loại bỏ ngay quá trình xác thực khi gặp bất kỳ thông báo thất bại của module nào. Optional cờ này ít khi được sử dụng nó có ý nghĩa là module này được thực hiện thành công hay thất bại cũng không quan trọng không ảnh hưởng quá trình xác thực. - MODULE-PATH - Đường dẫn đên thư viện PAM. - ARGUMENTS - Các biến tùy chọn cho các module. Các module auth account password session được thực hiện trong stack và chúng được thực hiện theo thứ tự xuất hiện trong file config. Các chương trình yêu cầu xác thực đều có thể sử dụng PAM. 5. Sau đây tôi xin giới thiệu chức năng của một số module - Support module type account - Module này sử dụng file thiết lập trong etc security . File cấu hình này có dạng như sau Code or - grant permission - deny permission Với username list là người dùng hay nhóm người dùng tty list là login qua console host list xác định các host hay domain. Chúng ta có thể sử dụng các từ khóa ALL tất cả EXCEPT trừ LOCAL cục bộ. Ví dụ sau cho cấm osg login từ tất cả và cho phép linet login từ xa. Code account required - osg ALL linet ALL EXCEPT LOCAL Support module type account session authentication Dùng để chroot cho các user thiết lập trong etc security Ví dụ tôi thực hiện chroot cho sshd để người dùng linet chỉ có quyền truy cập trong home osg mà không có quyền truy cập đến các thư mục home của người dùng khác Thêm dòng sau trong etc sshd lưu ý trong etc sshd sshd_config phải thiết lập UsePAM yes Code session required Support module type account authentication password session Module này luôn trả về giá trị false. Vd nó được dùng trong etc other để từ chối mọi truy cập của người dùng khi truy cập vào các PAM-aware program mà không có file cấu hình PAM - .