|
1.
PAM
PAM on kokoelma jaettuja kirjastoja, joiden avulla ohjelmat voivat todentaa
käyttäjiä. USE-flägi pam on oletusarvoisesti päällä. PAM-asetukset
Gentoo Linuxissa ovat melko järkevät jo valmiiksi, mutta niitä voi toki
parantaakin. Ensiksi asennetaan cracklib.
Koodilistaus 1.1: Cracklibin asennus |
# emerge cracklib
|
Koodilistaus 1.1: /etc/pam.d/passwd |
auth required pam_unix.so shadow nullok
account required pam_unix.so
password required pam_cracklib.so difok=3 retry=3 minlen=8 dcredit=-2 ocredit=-2
password required pam_unix.so md5 use_authtok
session required pam_unix.so
|
Tämä lisää cracklibin käyttöön varmistamaan, että käyttäjien salasanat ovat
ainakin 8 merkkiä pitkiä tai sisältävät 2 numeroa tai 2 erikoismerkkiä ja
ovat vähintään 3:a merkkiä erilaisia edellisestä salasanasta. Tällä tavoin
saadaan käyttäjä valitsemaan tehokas salasana. Lisätietoja aiheesta
PAMin ohjeessa.
Koodilistaus 1.1: /etc/pam.d/sshd |
auth required pam_unix.so nullok
auth required pam_shells.so
auth required pam_nologin.so
auth required pam_env.so
account required pam_unix.so
password required pam_cracklib.so difok=3 retry=3 minlen=8 dcredit=-2 ocredit=-2 use_authtok
password required pam_unix.so shadow md5
session required pam_unix.so
session required pam_limits.so
|
Palvelut, joille ei ole omaa PAM-asetustiedostoa hakemistossa
/etc/pam.d/ käyttävät tiedostossa /etc/pam.d/other
määriteltyjä sääntöjä. Oletuksena on deny, eli oikeuksien kieltäminen,
kuten kuuluukin. Mutta myös lokitiedostot ovat hyödyllisiä, joten
pam_warn.so on hyvä olla. Viimeinen asetus, pam_limits seuraa
/etc/security/limits.conf-asetuksia. Tästä lisää kappaleessa (/etc/security/limits.conf).
Koodilistaus 1.1: /etc/pam.d/other |
auth required pam_deny.so
auth required pam_warn.so
account required pam_deny.so
account required pam_warn.so
password required pam_deny.so
password required pam_warn.so
session required pam_deny.so
session required pam_warn.so
|
|
