Gentoo Logo

1.  PAM (Pluggable Authentication Modules)

PAM, o Módulos de Autentificación Enlazables, es un conjunto de librerías compartidas que proporcionan una forma alternativa para la autentificación de usuarios en los programas. El parámetro USE pam está activado por defecto. Los parámetros de PAM en Gentoo Linux son bastante razonables, pero siempre se puede mejorar. Primero instale cracklib.

Listado de Código 1.1: Instalación de cracklib

# emerge cracklib

Listado de Código 1.1: /etc/pam.d/passwd

auth	 required pam_unix.so shadow nullok
account	 required pam_unix.so
password required pam_cracklib.so difok=3 retry=3 minlen=8 dcredit=-2 ocredit=-2
password required pam_unix.so md5 use_authtok
session	 required pam_unix.so

Lo que añadirá cracklib y obligará a los usuarios a que utilicen una contraseña con un mínimo de 8 caracteres y que contenga como mínimo 2 números, 2 caracteres de otro tipo y que hayan al menos 3 caracteres distintos respecto a la última contraseña. Lo que fuerza al usuario a elegir una buena contraseña (política de contraseñas). Revise la documentación de PAM para más opciones.

Listado de Código 1.1: /etc/pam.d/sshd

auth	 required pam_unix.so nullok
auth     required pam_shells.so
auth	 required pam_nologin.so
auth	 required pam_env.so
account	 required pam_unix.so
password required pam_cracklib.so difok=3 retry=3 minlen=8 dcredit=-2 ocredit=-2 use_authtok
password required pam_unix.so shadow md5
session	 required pam_unix.so
session	 required pam_limits.so

Cada servicio no configurado con un fichero PAM en /etc/pam.d utilizará las reglas de /etc/pam.d/other. Los parámetros por defecto se establecen a deny, como debería ser. Pero me gusta tener muchos logs y esto es por lo que he añadido pam_warn.so. La última configuración es pam_limits que está controlada por /etc/security/limits.conf. Mire (la sección /etc/security/limits.conf) para más detalles acerca de estas opciones.

Listado de Código 1.1: /etc/pam.d/other

auth     required pam_deny.so
auth     required pam_warn.so
account  required pam_deny.so
account  required pam_warn.so
password required pam_deny.so 
password required pam_warn.so 
session  required pam_deny.so 
session  required pam_warn.so

Página actualizada 3 de agosto, 2006

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.