Já faz alguns dias que venho quebrando a cabeça com o PAM, muito minucioso para configurar, porem muito eficiente para quem busca segurança. Já faz dias que estou vasculhando a Internet, procurando por documentos e dicas, participando de fóruns para tentar entender como realmente funciona o aplicativo para poder configurar dois servidores.
O meu objetivo com o PAM, é configurar uma autenticação segura, onde, por exemplo, se o usuário errar a senha por cinco vezes bloqueia o acesso, e somente é liberado se o root liberar, também configurar o comprimento da senha, que seria no caso de seis caracteres, porem teria que ter uma maiúscula e um numero formando essa senha, ate esse momento que estou escrevendo esse artigo não consegui sucesso ainda.
Mas o que é realmente o PAM?
O PAM é uma biblioteca que permite usuários autenticar em ambientes como o Linux ou Unix (HP-UX,
AIX, Solaris, entre outros). O grande objetivo do desenvolvimento do PAM deu-se devido ao problema encontrado quando era preciso fazer o login de um usuário, utilizando uma senha criptografada através de acesso remoto. Além disso, como cada programa possuía seu método próprio de login, caso fosse necessário mudar o método de autenticação, os programas teria que ser alterados para reconhecer este novo método. Foi neste momento, que a SUN MICROSYSTEMS criou o PAM, um aplicativo centralizador da tarefa de autenticação, com isso não seria mais necessário cada programa se preocupar com o papel de autenticador, pois esta seria a tarefa do PAM e casso fosse mudado o critério de autenticação, por questão de segurança, somente seria necessários alterar o método no próprio PAM.
Qual a Vantagem do PAM
A principal vantagem do PAM, além de centralizador das funções de autenticação do login e senha, é que ele é capaz de selecionar, se configurar para tal, os programas aos quais os usuários que fez o login pode ou não acessar. Desta forma, um usuário que quisesse usufruir de aplicativos de áudio e vídeo, por exemplo, remotamente, poderia ser bloqueado o que não aconteceria caso ele estivesse utilizando estes aplicativos localmente.
Configuração do Módulo PAM
Os arquivos de configuração do PAM, no Linux, normalmente estão localizados no diretório /etc/pam.d/.
Nestes arquivos, a linha de configuração é dada como:
Service-name module-type control-flag modulo-path args
Nome do Serviço
Esta associado ao nome do serviço a esta entrada. Por exemplo, ftpd, rlogind, su e outros.
Divisão dos Módulos – Module-Type
Como o próprio nome diz, o PAM é um conjunto de módulos, no qual cada um recebe uma ou mais funções especiais dentro do processo de autenticação. Essa função que cada modulo tem é determinado pelas divisões dos módulos do PAM, que são: AUTH, ACCOUNT, PASSWORD, SESSION.
AUTH
A divisão AUTH trata da autenticação, seja por login/senha ou autenticação biométrica (voz, retina, impressão digital, por exemplo).
ACCOUNT
Esta divisão, terá o papel de autorização ou não autorização para o uso de programas com base no login, determinando assim, o usuário apto a utilizar aquele programa ou não.
PASSWORD
É responsável pela troca de senha.
SESSION
Determina qual será o ambiente do usuário com base no seu login.
É importante salientar, neste momento, que o PAM é o conjunto de módulos e como tal, não precisa ter todos os módulos existentes e possíveis para funcionar, basta ter aqueles os quais o administrador acha necessário trabalhar, e que, alguns módulos possuem apenas uma das divisões acima citadas enquanto outros chegam a ter todas as divisões.
Controle das Flags – Control-flag
O control-flag é utilizado para indicar de que forma a biblioteca do PAM reagirá ao sucesso ou falha do módulo que esta associado. Outra função que a control-flag pode executar é dando prioridades a cada módulo, visto que eles podem ser empilhados.
Existem dois modos de sintaxe para o control-flag um mais antigo e tradicional que divide a sintaxe em: REQUIRED, REQUISITE, SUFFICIENT, OPTIONAL. O modo mais novo, mais elaborado e especifico separa da seguinte forma: VALUE=ACTION. A parte ACTION é nomeada como IGNORE, BAD, DIE, OK, DONE, RESET.
Controle de Sintaxe do Modo Tradicional
REQUIRED
Estabelece que: a falha do módulo utilizando a sintaxe REQUIRED, não será mostrada ao usuário até que todos os módulos estejam sendo executados.
REQUISITE
Parecido com o REQUIRED, porem no caso de falha, o controle é retornado direto a aplicação. Esta flag é muito utilizada para proteger um usuário que tente colocar sua senha quando o meio esta inseguro.
SUFFICIENT
A falha deste modulo não implica em falha da autenticação como um todo. Se o modulo falhar, o próximo da classe é executado. Se não houver próximo, então a classe retorna com sucesso. Se, por outro lado, o modulo terminar com sucesso, então os módulos seguintes dessa classe não serão executados. Este parâmetro é bastante usado no caso de usar LDAP para autenticação, por exemplo, ou outra fonte de dados.
OPTIONAL
Módulos marcados como ptional praticamente não influencia o resultado da autenticação como um todo. Eles terão alguma influencia somente caso os módulos anteriores da mesma classe não apresentem um resultado definitivo.
Exemplos de Modulos do PAM – Module Path
Existem muitos módulos disponíveis como: pam_access, pam_chroot, pam_cracklib, pam_deny, pam_env, pam_filter, pam_ftp, pam_group, pam_issue, pam_krb4, pam_lastlog, pam_limits, pam_listfile, pam_mail, pam_mkhomedir, pam_motd, pam_nologin, pam_permit, pam_pwdb, pam_radius, pam_rhosts_auth, pam_rootok, pam_securetty, pam_tally, pam_time, pam_unix, pam_userdb, pam_warn, pam_wheel, pam_tally2.
Porem, somente os módulos principais serão mostrados e explicados a seguir.
Securetty Module – pam_securetty
Module-Type: AUTH
Autor: Elliot Lee
Características: este modulo simplesmente verifica em qual terminal o root esta tentando fazer login, então a partir dele é possivel restringir os locais em que o root pode fazer login. Logo,a principal característica do pam_securetty é evitar o login do root em terminais inseguros. Vale ressaltar, que para o pam_securetty,nenhum terminal esta liberado para o login, o root que devera configurar este modulo para ele possa fazer o login em outro terminal.
Password Database Module – pam_pwdb
Module-Type: ACCOUNT, AUTH, PASSWORD, SESSION
Autores: Cristian Gafton e Andrew G. Morgan
Caracteristica: Este é o principal modulo do programa login, para tanto ele se encarrega de fazer a verificação do nome do usuário e senha, assim, autorizando o usuário ou não. Este modulo ainda aceita alguns parâmetros em sua configuração: shadow, nullok, md5, use_authtok.
Shadow: permite o uso de senhas shadow ou convencionais.
Nullok: permite o uso de senha em branco.
Md5: usa criptografia md5 em vez de cript padrão.
Use_authok: indica que o modulo deve usar a autenticação já fornecida para os módulos anteriores, para não interrogar o usuário novamente.
No-login Module – pam_nologin
Module-Type: ACCOUNT, AUTH
Autor: Michael K. Johnson
Caracteristica: este modulo é muito útil quando se deseja fazer a manutenção do sistema. Com ele funcionando, não será permitido a nenhum usuário fazer o login com exceção do root. É importante citar que, usuários que já estiverem feito o login não serão afetados com a adição deste modulo.
Cracklib pluggable password strength-checker – pam-cracklib
Module-Type: PASSWORD
Autor: Cristian Gafton
Caracteristica: este modulo fara a verificação da fragilidade de uma nova senha. Para isto, ele avalia algumas características como:
Polindrome: a nova senha é um palindrome da antiga?
Case change only: a nova senha é a antiga com apenas a diferença da caixa(maiúscula e minúscula)?
Simiar: a nova senha é similar a antiga? Ou seja, se existe caracteres repetidos. Ele estipula um numero mínimo para o uso dos mesmo caracteres da senha antiga.
Simple: a nova senha é muito pequena?
Rotated: a nova senha é a antiga, porem invertida?
Already used: a opção para nova senha já foi utilizada no passado?
Access Module – pam_access
Module-Type: ACCOUNT
Autor: Alexei Nogin
Caracteristica: verifica quais usuários podem fazer login e em qual local (terminal, remoto, domínio, etc.)
Resource Limits Module – pam_limits
Module-Type: SESSION
Autor: Cristian Gafton
Caracteristica: este modulo limita o uso dos recursos como : uso da CPU, memoria e outros. Sua linha de configuração de entrada é:
<domain> <type> <item> <value>
Domain: pode ser o nome de um usuário ou grupo.
Type: pode ser de dois tipos: hard ou soft. Para o hard o usuário não pode alterar os recursos pre-definidos, já para o modo soft o usuário é capaz de alterar os recursos, porem sem ultrapassar os limites do modo hard.
Item: pode ser cada um dos seguintes:
Core: tamanho máximo para arquivos core (KB)
Data: tamanho máximo do seguimento de dados de um processo de memoria
Fsize: tamanho máximo para novos arquivos.
Memlock: tamanho máximo de memoria que um processo pode bloquear na memoria física.
Nofile: quantidade máxima de arquivos abertos ao mesmo tempo
Rss: tamanho máximo que um processo pode manter na memoria física
Stack: tamanho máximo da pilha
Cpu: tempo máximo do uso da CPU
Nproc: quantidade máxima de processos disponíveis para um único usuário
As: limite de espaço de endereçamento
Maxlogins: quantidade máxima de logins para este usuário ou grupo
Priority: a prioridade com os processos deste usuário serão executados.
Value: determina o valor para opção do Item.
Argumentos – Args
Os args, argumentos, fazem parte de uma lista de símbolos que podem ser colocados ao final de cada modulo, se desejado. Estes argumentos são semelhantes aos argumentos disponíveis em um comando do Linux.