Télécharger la présentation
Publié parClarisse Philippe Modifié depuis plus de 9 années
1
Modules d'authentification enfichables (P.A.M.)
Master 1 ère année Sécurité des Systèmes Informatique Modules d'authentification enfichables (P.A.M.) Pluggable Authentication Modules (modules d'authentification enfichables, en abrégé PAM) est un mécanisme permettant d'intégrer différents schémas d'authentification de bas niveau dans une API de haut niveau, permettant de ce fait de rendre indépendants du schéma les logiciels réclamant une authentification. PAM est une création de Sun Microsystems et est supporté en 2006 sur les architectures Solaris, Linux, FreeBSD, NetBSD, AIX et HP-UX.
2
Modules d'authentification enfichables (P.A.M.)
Master 1 ère année Sécurité des Systèmes Informatique Modules d'authentification enfichables (P.A.M.) L'administrateur système peut alors définir une stratégie d'authentification sans devoir recompiler des programmes d'authentification. PAM permet de contrôler la manière dont les modules sont enfichés dans les programmes en modifiant un fichier de configuration. Les programmes qui donnent aux utilisateurs un accès à des privilèges doivent être capables de les authentifier. Lorsque vous vous connectez sur le système, vous indiquez votre nom et votre mot de passe. Le processus de connexion vérifie que vous êtes bien la personne que vous prétendez être. Il existe d'autres formes d'authentification que l'utilisation des mots de passe, qui peuvent d'ailleurs êtres stockés sous différentes formes.
3
Modules d'authentification enfichables (P.A.M.)
Master 1 ère année Sécurité des Systèmes Informatique Modules d'authentification enfichables (P.A.M.) Moyens modulables d'authentifier les utilisateurs Ensemble de bibliothèques auxquelles font appel les applications (su, login, ...) Configuration effectuée grâce aux fichiers de configuration de /etc/pam.d ou /etc/pam.conf Séparation des tâches d'authentification en quatre groupes de gestion auth: utilisé pour authentifier l'utilisateur account: utilisé pour vérifier si l'accès est autorisé (heure de connexion, expiration du mot de passe) password: utilisé pour définir les mots de passe session: tout ce qui concerne l'ouverture d'une session avant et après
4
Sécurité des Systèmes Informatique
Master 1 ère année Sécurité des Systèmes Informatique Quelques modules PAM pam_cracklib pas de mot de passe du dictionnaire pam_env spécification de variables d'environnement (/etc/security/pam_env.conf) pam_unix module de base pam_pwdb idem pam_time gestion heure par heure (/etc/security/time.conf) pam_wheel limitation du su au groupe wheel pam_nologin désactivation des comptes en cas de présence du fichier /etc/nologin pam_securetty vérification des consoles d'accès root pam_ldap utilisation d'un annuaire ldap pour l'authentification
5
Le répertoire /etc/pam.d
Master 1 ère année Sécurité des Systèmes Informatique Le répertoire /etc/pam.d -rw-r--r root root aoû chfn -rw-r--r root root aoû chsh -rw-r--r root root sep cups -rw-r--r root root sep halt -rw-r--r root root aoû kbdrate -rw-r--r root root sep kde3 -rw-r--r root root sep kppp -rw-r--r root root sep kscreensaver3 -rw-r--r root root aoû login -rw-r--r root root sep net_monitor -rw-r--r root root sep other -rw-r--r root root jui passwd -rw-r--r root root sep pmsuspend2 -rw-r--r root root sep poweroff -rw-r--r root root aoû ppp -rw-r--r root root sep reboot -rw-r--r root root sep secure-mcserv -rw-r--r root root sep simple_root_authen -rw-r--r root root aoû su -rw-r--r root root jui sudo -rw-r--r root root mar system-auth -rw-r--r root root sep xdm -rw-r--r root root sep xserver
6
Les fichiers de configuration PAM
Master 1 ère année Sécurité des Systèmes Informatique Les fichiers de configuration PAM 4 champs séparés par des blancs type utilisé pour spécifier à quel groupe de gestion correspondent les règles control comportement de l'API en cas d'échec chemin accès au module PAM paramètres liste de valeurs modifiant le comportement de l'API
7
Comportement de l'API PAM: le champ control
Master 1 ère année Sécurité des Systèmes Informatique Comportement de l'API PAM: le champ control required doit être vérifié avec succès. L'utilisateur ne sera averti qu'à la fin de la vérification des modules du même type requisite doit être vérifié avec succès. L'utilisateur sera averti immédiatement de l'échec du premier module de ce type ou de type required Sufficient ignoré en cas d'échec. Si aucun module required précédent n'a échoué et que l'authentification est réussie alors aucun autre module required ne sera testé Optional uniquement s'il n'y a pas d'autre module ou si l'authentification n'a pu être ni validée ni réfutée.
8
Sécurité des Systèmes Informatique
Master 1 ère année Sécurité des Systèmes Informatique Empilement de module L'ordre a une grande importance Différentes conditions peuvent être requises L'exemple du rlogin: Y a-t-il un fichier /etc/nologin ? Connexion root distante ? Variables d'environnement spécifiques. Authentification rhosts réussie ? Demande d'authentification standard. auth required /lib/security/pam_nologin.so auth required /lib/security/pam_securetty.so auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_rhosts_auth.so auth required /lib/security/pam_stack.so service=system-auth
9
Un exemple de configuration
Master 1 ère année Sécurité des Systèmes Informatique Un exemple de configuration #%PAM-1.0 auth required /lib/security/pam_securetty.so auth required /lib/security/pam_unix.so shadow nullok auth required /lib/security/pam_nologin.so account required /lib/security/pam_unix.so password required /lib/security/pam_cracklib.so retry=3 password required /lib/security/pam_unix.so shadow nullok use_authtok session required /lib/security/pam_unix.so Vérification du terminal de connexion (pour root) Vérification standard (mot de passe vide autorisé) Vérification du nologin Activation de la vérification de compte (mot de passe périmé, ...) Si le mot de passe doit être changé alors on utilise le module password de pam_unix_so La session sera logée dans syslog (début et fin)
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.