1.  PAM

PAM jest zestawem bibliotek, które umożliwiają korzystanie z różnych metod autoryzacji w programach. Flaga USE pam jest włączana domyślnie. Domyślne ustawienia PAM w Gentoo są stosunkowo dobre, zawsze jednak można je nieco ulepszyć. Po pierwsze warto zainstalować sobie cracklib.

# emerge cracklib

auth     required pam_unix.so shadow nullok
account  required pam_unix.so
password required pam_cracklib.so difok=3 retry=3 minlen=8 dcredit=-2 ocredit=-2
password required pam_unix.so md5 use_authtok
session  required pam_unix.so

Takie ustawienie zmusi użytkowników do ustawiania co najmniej ośmioliterowych haseł, zawierających co najmniej dwie cyfry i co najmniej dwa inne znaki oraz co najmniej trzy znaki różne w stosunku do tych z poprzedniego hasła. Spowoduje to, że wszyscy użytkownicy będą mieli ustawione dobre hasła. Więcej opcji znajduje się w dokumentacji PAM.

auth     required pam_unix.so nullok
auth     required pam_shells.so
auth     required pam_nologin.so
auth     required pam_env.so
account  required pam_unix.so
password required pam_cracklib.so difok=3 retry=3 minlen=8 dcredit=-2 ocredit=-2 use_authtok
password required pam_unix.so shadow md5
session  required pam_unix.so
session  required pam_limits.so

Każda nieskonfigurowana w pliku /etc/pam.d usługa zostanie potraktowana zgodnie z zasadami z pliku /etc/pam.d/other. Domyślnie jest to deny, tak jak powinno to być zresztą ustawione. Osobiście lubię mieć dużą ilość logów, w związku z czym dodałem pam_warn.so. Ostatnim ustawieniem jest pam_limits, które jest konfigurowane w pliku /etc/security/limits.conf. Więcej informacji o tych ustawieniach znajduje się w (paragrafie dotyczącym /etc/security/limits.conf).

auth     required pam_deny.so
auth     required pam_warn.so
account  required pam_deny.so
account  required pam_warn.so
password required pam_deny.so
password required pam_warn.so
session  required pam_deny.so
session  required pam_warn.so