1.  PAM

PAM è una serie di librerie condivise che forniscono una via alternativa per l'autenticazione dell'utente nei programmi. La flag USE pam è attivata in modo predefinito. Le impostazioni PAM su Gentoo Linux sono abbastanza ragionevoli, ma c'è sempre la possibilità di migliorare. Per prima cosa installare cracklib.

# emerge cracklib

auth     required pam_unix.so shadow nullok
account  required pam_unix.so
password required pam_cracklib.so difok=3 retry=3 minlen=8 dcredit=-2 ocredit=-2 
password required pam_unix.so md5 use_authtok
session  required pam_unix.so

Questo aggiungerà cracklib, il quale assicurerà che le password degli utenti siano lunghe almeno 8 caratteri, contengano un minimo di 2 cifre e 2 altri caratteri, e che differiscano dall'ultima password per più di 3 caratteri. Questo costringe l'utente a scegliere una buona password (politica delle password). Consultare la documentazione PAM per ulteriori opzioni.

auth     required pam_unix.so nullok 
auth     required pam_shells.so
auth     required pam_nologin.so
auth     required pam_env.so
account  required pam_unix.so
password required pam_cracklib.so difok=3 retry=3 minlen=8 dcredit=-2 ocredit=-2
use_authtok
password required pam_unix.so shadow md5
session  required pam_unix.so
session  required pam_limits.so

Ogni servizio non configurato con un file PAM in /etc/pam.d userà le regole in /etc/pam.d/other. I valori predefiniti sono impostati a deny, come dovrebbero essere. Ma in questo esempio si desidera avere molti log, e per questo si è aggiunto pam_warn.so. L'ultima opzione è pam_limits, che è controllata da /etc/security/limits.conf. Consultare la sezione (/etc/security/limits.conf) per maggiori dettagli su queste impostazioni.

auth     required pam_deny.so 
auth     required pam_warn.so 
account  required pam_deny.so 
account  required pam_warn.so 
password required pam_deny.so 
password required pam_warn.so 
session  required pam_deny.so 
session  required pam_warn.so