HackTricksPAM - Pluggable Authentication Modules
Reading time: 3 minutes
tip
Вивчайте та практикуйте AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.
Основна інформація
PAM (Pluggable Authentication Modules) діє як механізм безпеки, який перевіряє особу користувачів, які намагаються отримати доступ до комп'ютерних послуг, контролюючи їх доступ на основі різних критеріїв. Це схоже на цифрового охоронця, який забезпечує, щоб лише авторизовані користувачі могли взаємодіяти з певними послугами, при цьому потенційно обмежуючи їх використання, щоб запобігти перевантаженню системи.
Файли конфігурації
- Системи Solaris та UNIX зазвичай використовують центральний файл конфігурації, розташований за адресою
/etc/pam.conf. - Системи Linux віддають перевагу підходу з директоріями, зберігаючи специфічні для послуг конфігурації в
/etc/pam.d. Наприклад, файл конфігурації для служби входу знаходиться за адресою/etc/pam.d/login.
Приклад конфігурації PAM для служби входу може виглядати так:
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_nologin.so
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_unix_auth.so try_first_pass
account sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_unix_acct.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_ldap.so
password required /lib/security/pam_pwdb.so use_first_pass
session required /lib/security/pam_unix_session.so
PAM Управління Сферами
Ці сфери, або групи управління, включають auth, account, password та session, кожна з яких відповідає за різні аспекти процесу аутентифікації та управління сесіями:
- Auth: Підтверджує особу користувача, часто запитуючи пароль.
- Account: Обробляє перевірку облікового запису, перевіряючи умови, такі як членство в групі або обмеження за часом доби.
- Password: Керує оновленнями паролів, включаючи перевірки складності або запобігання атакам словників.
- Session: Керує діями під час початку або закінчення сесії служби, такими як монтування каталогів або встановлення обмежень ресурсів.
Контроль Модулів PAM
Контролі визначають реакцію модуля на успіх або невдачу, впливаючи на загальний процес аутентифікації. До них відносяться:
- Required: Невдача обов'язкового модуля призводить до остаточної невдачі, але лише після перевірки всіх наступних модулів.
- Requisite: Негайне завершення процесу у разі невдачі.
- Sufficient: Успіх обходить решту перевірок того ж рівня, якщо наступний модуль не зазнає невдачі.
- Optional: Викликає невдачу лише якщо це єдиний модуль у стеку.
Приклад Сценарію
У налаштуванні з кількома модулями auth процес слідує строгому порядку. Якщо модуль pam_securetty виявляє, що термінал для входу несанкціонований, вхід під root блокується, але всі модулі все ще обробляються через його статус "required". Модуль pam_env встановлює змінні середовища, що потенційно покращує досвід користувача. Модулі pam_ldap та pam_unix працюють разом для аутентифікації користувача, причому pam_unix намагається використати раніше наданий пароль, підвищуючи ефективність і гнучкість методів аутентифікації.
Посилання
tip
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами в Twitter 🐦 @hacktricks_live.
- Діліться хакерськими трюками, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на github.