Au-delà de Linux® From Scratch - Version svn-20120120

Chapitre 4. Sécurité

Linux-PAM-1.1.5

Introduction à Linux-PAM

Le paquet Linux-PAM contient des Pluggable Authentication Modules (modules d'authentification branchables). C'est utile pour permettre à l'administrateur système local de choisir la façon dont s'authentient les utilisateurs des applications.

Ce paquet est connu pour se construire et fonctionner correctement sur une plateforme LFS-7.0.

Informations sur le paquet

Optional Documentation

Téléchargements supplémentaires

Dépendances de Linux-PAM

Facultatives

CrackLib-2.8.18, X Window System, Berkeley DB-5.2.36 (for the pam_userdb module), et Prelude

Facultatives Pzr {,Re}cnstruire la documentation)

libxslt-1.1.26, DocBook XML DTD-4.5, DocBook XSL Stylesheets-1.76.1, w3m-0.5.2 et FOP-1.0

Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/linux-pam

Installation de Linux-PAM

Si vous avez téléchargé la documentation, déballez l'archive tar en exécutant la commande suivante. 

tar -xf ../Linux-PAM-1.1.5-docs.tar.bz2 --strip-components=1

Installez Linux-PAM en lançant les commandes suivantes : 

./configure --sbindir=/lib/security \
            --docdir=/usr/share/doc/Linux-PAM-1.1.5 \
            --enable-read-both-confs &&
make

Pour tester les résultats, vous devez créer un fichier d configuration. Ce fichier sera supprimé après la fin des tests. Assurez-vous qu'il n'y a pas d'erreurs renvoyées par les tests avant de poursuivre l'installation. Créez tout d'abord le fichier de configuration en effectuant les commandes suivantes en tant qu'utilisateur root : 

install -v -m755 -d /etc/pam.d &&

cat > /etc/pam.d/other << "EOF"
auth     required       pam_deny.so
account  required       pam_deny.so
password required       pam_deny.so
session  required       pam_deny.so
EOF

Maintenant lancez les tests en exécutant make check.

Supprimez le fichier de configuration créé plus haut en lançant la commande suivante en tant qu'utilisateur root : 

rm -rfv /etc/pam.d

Maintenant, en tant qu'utilisateur root : 

make install &&
chmod -v 4755 /lib/security/unix_chkpwd &&

mv -v /lib/security/pam_tally /sbin &&

mv -v /lib/libpam{,c,_misc}.la /usr/lib &&
sed -i 's| /lib| /usr/lib|' /usr/lib/libpam_misc.la &&

if [ -L /lib/libpam.so ]; then
   for LINK in libpam{,c,_misc}.so; do
       ln -v -sf ../../lib/$(readlink /lib/${LINK}) /usr/lib/${LINK} &&
       rm -v /lib/${LINK}
   done
fi

Explication des commandes

--sbindir=/lib/security : Ce paramètre produit trois exécutables, deux d'entr eux ne sont pas conçus pour être exécutés depuis la ligne de commande et installés dans le même réper!oire que les modules PAM. L'autre exécutable est déplacé plus tard dans le répertoire /sbin.

--docdir=... : Il résulte de ce paramètre que la documentation est installée dans un répertoire au nom versioné.

--enable-read-both-confs : Ce paramètre permet à l'administrateur local de choisir le paramétrage du fichier de configuration à utiliser.

chmod -v 4755 /lib/security/unix_chkpwd : Le programme de soutien des mots de passe unix_chkpwd doit avoir des droits UID réglés de telle sorte que les processus non root puissent accéder au fichier de mots de passe shadow.

mv -v /lib/security/pam_tally /sbin : Le programme pam_tally est conçu pour être exécuté par l'administrateur système, éventuellement en mode mono-utilisateur, donc on le déplace dans le répertoire adéquat.

mv -v /lib/libpam{,c,_misc}.la /usr/lib : Cette commande déplace les fichiers de la bibliothèque Libtool dans /usr/lib vu qu'ils devraient y résider.

sed -i 's| /lib| /usr/lib|' /usr/lib/libpam_misc.la : Cette commande corrige une référence d'installation vu que le fichier a été déplacé lors de l'étape précédente.

for ...; do ...; done : Ces commandes sont utilisées pour replacer les liens symboliques .so dans le répertoire /usr/lib en les cloniant puis en supprimant les liens symboliques existants. L'utilisation de readlink garantit que les nouveaux symboliques pointent vers les bons noms de fichiers de bibliothèque.

Configuration de Linux-PAM

Fichiers de configuration

/etc/security/* et /etc/pam.d/* or /etc/pam.conf

Informations de configuration

Les informations de configuration se trouvent dans /etc/pam.d/ ou dans /etc/pam.conf selon le choix de l'administrateur système. Voici ci-dessous des fichiers exemples de de chaque type : 

# Début de /etc/pam.d/other

auth            required        pam_unix.so     nullok
account         required        pam_unix.so
session         required        pam_unix.so
password        required        pam_unix.so     nullok

# Fin de /etc/pam.d/other

# Début de /etc/pam.conf

other           auth            required        pam_unix.so     nullok
other           account         required        pam_unix.so
other           session         required        pam_unix.so
other           password        required        pam_unix.so     nullok

# Fin de /etc/pam.conf

La page de man de PAM (man pam) offre un bon point de départ pour des descriptions des champs et des entrées autorisées. Le Linux-PAM System Administrators' Guide (guide de l'administrateur système Linux-PAM) est recommandé pour des informations supplémentaires.

Reportez-vous à http://www.kernel.org/pub/linux/libs/pam/modules.html pour une liste des divers modules tiers disponibles.

[Important]

Important

Vous devriez maintenant réinstaller le paquet Shadow-4.1.4.3.

Contenu

Installed Program: pam_tally
Bibliothèques installées: libpam.{so,a}, libpamc.{so,a}, libpam_misc.{so,a} et numerous PAM modules
Répertoires installés: /etc/security, /lib/security, /usr/include/security, /usr/share/doc/Linux-PAM-1.1.5, et /var/run/sepermit

Descriptions courtes

pam_tally

est utilisé pour visualiser ou manipuler le fichier faillog.

libpam.{so,a}

fournit les interfaces entre les applications et les modules PAM.

Last updated on 2011-12-07 18:10:09 +0100