• Добавьте сертификат в доверенные (требуются права администратора):

Изменение конфигурационных файлов

Для изменения конфигурационных файлов потребуются права администратора.

pam_pkcs11.conf

• Создайте (например, на рабочем столе) текстовый файл pam_pkcs11.conf со следующим содержимым:

• Поместите файл в каталог /etc/pam_pkcs11/:

system-auth

• Подключите модуль к системе авторизации PAM:

• Откройте файл system-auth в редакторе nano или mcedit :

• Добавьте вверху следующую строку:

• Сохраните файл () и закройте редактор ().

subject_mapping

• Выполните команды:

• Скопируйте вывод предыдущей команды в файл /etc/pam_pkcs11/subject_mapping и укажите, какому пользователю принадлежит сертификат.

Строка конфигурации имеет вид:

Вывод команды pkcs11_inspect -> <имя_пользователя>

Проверка аутентификации через консоль

• Откройте новое окно или вкладку консоли.
• Выполните команду su <имя_пользователя> (имя пользователя указано в subject_mapping).

Пример вывода:

После проверки работы аутентификации через консоль можно убрать режим отладки. Для этого в файле /etc/pam.d/sysauth в добавленной строке уберите слово debug , а в файле /etc/pam_pkcs11/pam_pkcs11.conf поставьте напротив debug false вместо true .

Настройка блокировки экрана

• Откройте для редактирования файл pkcs11_eventmgr (требуются права администратора):

После редактирования конфигурационный файл должен выглядеть следующим образом:

Pkcs11_eventmgr { # Run in background? Implies debug=false if true daemon = true; # show debug messages? debug = false; # polling time in seconds polling_time = 1; # expire time in seconds # default = 0 (no expire) expire_time = 0; # pkcs11 module to use pkcs11_module = /usr/lib64/librtpkcs11ecp.so; # # list of events and actions # Card inserted event card_insert { # what to do if an action fail? # ignore: continue to next action # return: end action sequence # quit: end program on_error = ignore ; } # Card has been removed event card_remove { on_error = ignore; action = "gdmflexiserver"; } # Too much time card removed event expire_time { on_error = ignore; action = "/bin/false"; } }

• Добавьте утилиту pkcs11_eventmgr в автозагрузку. Для этого отредактируйте файл.bash_profile пользователя, проходящего аутентификацию:

• Добавьте в конец файла строку, запускающую pkcs11_eventmgr .

Пример файла.bash_profile после редактирования:

При выборе аутентификации при помощи токена экран будет выглядеть примерно так.

1. Подключите USB-токен к компьютеру.
2. Для определения названия модели USB-токена откройте Терминал и введите команду:

В результате в окне Терминала отобразится название модели USB-токена:

Убедитесь, что используете: Aktiv Rutoken ECP

Введение

Pluggable Authentication Modules (PAM, подключаемые модули аутентификации) - это набор разделяемых библиотек, которые позволяют интегрировать различные низкоуровневые методы аутентификации в виде единого высокоуровневого API. Это позволяет предоставить единые механизмы для управления, встраивания прикладных программ в процесс аутентификации.

Общий порядок действий для настройки PAM следующий:

1. Сгенерировать на токене ключевую пару RSA (проверено, что работает для длины ключа 2048 бит, с 1024 были проблемы)
   
2. Если требуется сертификат, то с помощью OpenSSL или другого ПО сгенерировать сертификат и записать его на токен
3. Записать открытый ключ или сертификат в необходимый каталог
   

В итоге выглядит это так:

Предварительная подготовка

Демонстрация работы проводится на Ubuntu 18.04. Описанная последовательность действий актуальна также для других версий Ubuntu и систем, основанных на Debian.

Для конфигурации модуля PAM необходимо установить пакеты:

• pcscd
• OpenSC
• OpenSSL
• libpam-p11
• libengine-pkcs11-openssl

Sudo apt-get install pcscd opensc openssl libpam-p11 libengine-pkcs11-openssl

Пользователям Рутокен S также необходимо установить драйвер с нашего сайта.

Общий порядок действий

Настройка pam_p11

До начала работы с токеном стоит настроить модуль pam_p11:

Создать файл /usr/share/pam-configs/p11 со следующим содержанием:

Name: Pam_p11 Default: yes Priority: 800 Auth-Type: Primary Auth: sufficient pam_p11_opensc.so /usr/lib/x86_64-linux-gnu/opensc-pkcs11.so

Если вы используете не Ubuntu 18.04, вам необходимо проверить местонахождение opensc-pkcs11.so. Он может находится, например, в

/usr/lib/opensc-pkcs11.so. Если его найти не удается воспользуйтесь командой find

Обновить конфигурацию PAM:

Sudo pam-auth-update

1. В появившемся диалоге необходимо удостовериться, что выбран pam_p11. Если вы хотите отключить аутентификацию по паролям, то можно отключить Unix authentication.

   Создание ключей на токене

Подготовим токен.

$ pkcs15-init -E $ pkcs15-init --create-pkcs15 --so-pin "87654321" --so-puk "" $ pkcs15-init --store-pin --label "User PIN" --auth-id 02 --pin "12345678" --puk "" --so-pin "87654321" --finalize

В параметрах pin и so-pin можно указать желаемые пин-коды пользователя и администратора.

Создаем ключевую пару RSA длины 2048 бит c ID "45" (id стоит запомнить, он понадобится при создании сертификата). Аутентификация на токене происходит под сущностью пользователя.

$ pkcs15-init --generate-key rsa/2048 --auth-id 02 --id 45 <вводим PIN пользователя>

Проверим сгенерированный ключ:

$ pkcs15-tool --list-keys Using reader with a card: Aktiv Rutoken ECP 00 00 Private RSA Key Object Flags: , private, modifiable Usage: , sign Access Flags: , sensitive, alwaysSensitive, neverExtract, local ModLength: 2048 Key ref: 1 (0x1) Native: yes Path: 3f001000100060020001 Auth ID: 02 ID: 45

Создание сертификата и импорт его на токен

2. Запускаем openssl

   Подгружаем модуль поддержки pkcs11:

   OpenSSL> engine dynamic -pre SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/lib/x86_64-linux-gnu/opensc-pkcs11.so (dynamic) Dynamic engine loading support : SO_PATH:/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so : ID:pkcs11 : LIST_ADD:1 : LOAD : MODULE_PATH:/usr/lib/x86_64-linux-gnu/opensc-pkcs11.so Loaded: (pkcs11) pkcs11 engine OpenSSL>

   Если вы используете не Ubuntu 18.04, вам необходимо проверить местонахождение pkcs11.so. Он может располагаться, например, в /usr/lib/openssl/engines/ . Если его найти не удается воспользуйтесь командой find

   Создаем самоподписанный сертификат в PEM-формате:

   OpenSSL> req -engine pkcs11 -new -key 0:45 -keyform engine -x509 -out cert.pem -text

   Где 0:45 - это пара slot:id (который мы указывали в п.5). OpenSSL предложит ввести PIN-код и заполнить информацию о сертификате. Если у вас возникла ошибка, проверьте, не подключены ли другие USB-токены или считыватели смарт-карт к компьютеру.

   Проверяем созданный сертификат. В текущем каталоге должен создаться файл самоподписанного сертификата с именем cert.pem.
   Примечание: если при создании сертификата в OpenSSL убрать ключ -x509, то на выходе получим заявку на сертификат.

   Примечание

   На стадии выбора пользователя информация о подключенном токене может не обновляться динамически. Если вы подключили токен и не видите поля ввода пин-кода, вам может понадобиться перенести фокус на "гостевой сеанс" и обратно на вашего пользователя.

Двухфакторная аутентификация (2FA) — это метод аутентификации, который для входа в учетную запись или на устройство требует несколько фрагментов информации. Кроме комбинации имени пользователя и пароля, 2FA требует, чтобы пользователь вводил дополнительную информацию, такую как одноразовый пароль (OTP, например шестизначный проверочный код).

В целом, 2FA требует от пользователя ввода информации разных типов:

• Что-то, что пользователь знает (например, пароль)
• Что-то, что у пользователя есть (например, код подтверждения, сгенерированный специальным приложением – аутентификатором).

2FA – это подвид многофакторной аутентификации (MFA). Метод MFA в дополнение к тому, что пользователь знает, и тому, что у него есть, требует чего-то, чем он является. Это биометрические данные: распознавание отпечатков пальцев или голоса и т. д.

2FA помогает защитить процесс аутентификации для определенного сервиса или устройства: даже если пароль был взломан, злоумышленнику также потребуется код безопасности, а для этого нужен доступ к устройству пользователя, в котором находится приложение-аутентификатор. По этой причине многие онлайн-сервисы предлагают возможность включить 2FA для учетных записей пользователей, чтобы повысить безопасность аккаунтов на уровне аутентификации.

В этом мануале вы узнаете, как настроить 2FA с помощью модуля Google PAM для пользователя без привилегий root в Ubuntu 18.04. Поскольку вы настраиваете 2FA для не-root пользователя, в случае блокировки вы все равно сможете получить доступ к компьютеру из своей учетной записи root. Инструкции мануала достаточно общие, потому их можно применить как к серверам, так и к настольным установкам, как локальным, так и удаленным.

Требования

• Сервер Ubuntu 18.04 или настольная рабочая среда. Сервер Ubuntu 18.04 нужно настроить по .
• Аутентификатор, установленный на мобильное устройство (например, Google Authenticator или Authy). С его помощью вы будете сканировать QR-коды безопасности.

1: Установка модуля Google PAM

Чтобы настроить 2FA в Ubuntu 18.04, вам нужно установить модуль Google PAM для Linux. Pluggable Authentication Module (PAM) – это механизм аутентификации, используемый Linux. Модуль Google PAM позволит вашему пользователю проходить аутентификацию 2FA, используя сгенерированные Google коды OTP.

Сначала войдите в систему как пользователь sudo, которого вы создали во время начальной настройки сервера:

ssh 8host@your_server_ip

Обновите индекс пакетов Ubuntu, чтобы получить последнюю версию аутентификатора:

sudo apt-get update

Обновив репозитории, установите последнюю версию модуля PAM:

sudo apt-get install libpam-google-authenticator

Это очень маленький пакет без каких-либо зависимостей, поэтому установка займет несколько секунд. В следующем разделе мы настроим 2FA для пользователя sudo.

2: Настройка двухфакторной аутентификации

Теперь, когда вы установили модуль PAM, запустите его, чтобы сгенерировать QR-код для вошедшего в систему пользователя. Это создаст код, но среде Ubuntu не потребуется 2FA, пока вы не включите ее.

Запустите команду google-authenticator, чтобы запустить и настроить модуль PAM:

google-authenticator

Команда задаст вам несколько вопросов о конфигурации. Сначала она спросит, хотите ли вы, чтобы токены были ограничены по времени. Токены аутентификации, ограниченные по времени, истекают через определенный интервал (он по умолчанию составляет 30 секунд в большинстве систем). Токены с ограниченным временем действия более безопасны, чем токены без такого ограничения, и большинство реализаций 2FA используют их. Вы можете выбрать здесь любой вариант, но мы рекомендуем выбрать Yes и использовать токены аутентификации, ограниченные по времени:

Do you want authentication tokens to be time-based (y/n) y

Ответив y на этот вопрос, вы увидите несколько строчек вывода в консоли:

• QR-код: это код, который необходимо сканировать с помощью приложения-аутентификатора. После того, как вы отсканировали его, приложение будет создавать новый OTP каждые 30 секунд.
• Секретный ключ: это альтернативный способ настройки приложения аутентификации. Если вы используете приложение, которое не поддерживает сканирование QR, вы можете ввести секретный ключ, чтобы настроить аутентификатор.
• Проверочный код: это первый шестизначный код, который генерирует этот конкретный QR-код.
• Аварийные скретч-коды. это одноразовые токены (также они называются резервными кодами), они позволят вам пройти аутентификацию 2FA, если вы потеряете устройство-аутентификатор. Храните эти коды в надежном месте, чтобы избежать блокировки учетной записи.

После того, как вы настроили свое приложение-аутентификатор и сохранили свои резервные коды в безопасном месте, программа спросит, хотите ли вы обновить файл конфигурации. Если вы выберете n, вам нужно будет снова запустить программу настройки. Введите y, чтобы сохранить изменения и продолжить:

Do you want me to update your "~/.google_authenticator" file (y/n) y

Далее программа спросит, хотите ли вы запретить использование кодов аутентификации более одного раза. По умолчанию вы можете использовать каждый код только один раз, даже если еще не прошло 30 секунд с момента его создания. Это самый безопасный выбор, потому что он предотвращает атаки повторного воспроизведения от злоумышленника, которому каким-то образом удалось получить ваш использованный код подтверждения. По этой причине лучше запретить использование кодов более одного раза. Ответьте y, чтобы запретить многократное использование одного и того же токена:

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y

Затем нужно указать, хотите ли вы, чтобы токены аутентификации принимались некоторое время после истечения их обычного срока действия. Коды очень чувствительны ко времени, а потому они могут не сработать, если ваши устройства не синхронизированы. Эта опция позволяет обойти эту проблему, увеличив время действия кодов проверки по умолчанию, чтобы коды аутентификации были приняты в любом случае (даже если ваши устройства временно не синхронизированы). Лучше всего убедиться в том, что время на всех ваших устройствах синхронизировано, так как ответ yes немного снизит безопасность системы. Ответьте n на этот вопрос, чтобы не увеличивать срок действия токена:

By default, tokens are good for 30 seconds and in order to compensate for
possible time-skew between the client and the server, we allow an extra
token before and after the current time. If you experience problems with poor
time synchronization, you can increase the window from its default
size of 1:30min to about 4min. Do you want to do so (y/n) n

Последний вопрос: хотите ли вы включить ограничение количества попыток входа в систему. Это не позволит пользователю сделать более трех неудачных попыток входа в систему в течение 30 секунд, что усилить безопасность системы. Включите это ограничение, ответив y:

If the computer that you are logging into isn"t hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting (y/n) y

Вы настроили и сгенерировали коды 2FA с помощью модуля PAM. Теперь нужно включить 2FA в вашей среде.

3: Активация 2FA в Ubuntu

Модуль Google PAM теперь генерирует коды 2FA для вашего пользователя, но система Ubuntu еще не знает, что ей нужно использовать коды в процессе аутентификации. На этом этапе нужно обновить конфигурацию Ubuntu, чтобы настроить поддержку токенов 2FA в дополнение к обычной аутентификации.

Здесь есть два пути:

1. Вы можете требовать двухфакторной аутентификации каждый раз, когда пользователь входит в систему, и каждый раз, когда пользователь запрашивает права sudo.
2. Вы можете требовать 2FA только во время входа в систему, тогда при запросе прав sudo потребуется только пароль пользователя.

Первый вариант будет идеальным для общей среды, где желательно защитить любые действия, требующие привилегий sudo. Второй подход более практичен для локальной среды рабочего стола, где вы являетесь единственным пользователем в системе.

Примечание : Если вы включаете 2FA на удаленной машине, к которой вы получаете доступ по SSH, вам необходимо выполнить шаги два и три из мануала , прежде чем продолжать работу. Остальные шаги в этом мануале применимы ко всем установкам Ubuntu, но удаленные среды нуждаются в дополнительных настройках, чтобы сервис SSH знал о 2FA.

Если вы не используете SSH для доступа к установке Ubuntu, вы можете сразу же перейти к остальным шагам в этом мануале.

Запрос 2FA при входе в систему и повышении прав sudo

Чтобы система использовала 2FA во время входа и последующих запросов на повышение привилегий, вам необходимо отредактировать файл /etc/pam.d/common-auth, добавив строку в конец существующего файла.

Файл common-auth применяется ко всем механизмам аутентификации в системе, независимо от используемой среды. Он также применяется к запросам аутентификации, которые происходят после входа пользователя в систему, например, во время запроса прав sudo при установке нового пакета из терминала.

Откройте файл:

sudo nano /etc/pam.d/common-auth

В конец файла добавьте:

...
# and here are more per-package modules (the "Additional" block)
session required pam_unix.so

Эта строка включает в системе аутентификации Ubuntu поддержку 2FA при входе через модуль Google PAM. Опция nullok позволяет существующим пользователям войти в систему, даже если они не настроили аутентификацию 2FA для своей учетной записи. Другими словами, пользователи, которые настроили 2FA, должны будут ввести код аутентификации при следующем входе в систему, в то время как пользователи, которые не запустили команду google-authenticator, смогут войти в систему по своим стандартным учетным данным, пока они не настроят 2FA.

Сохраните и закройте файл.

Запрос 2FA только при входе в систему

Если вы хотите, чтобы 2FA запрашивалась только при входе в систему в среде рабочего стола, вам нужно отредактировать конфигурационный файл используемого вами менеджера рабочего стола. Имя конфигурационного файла обычно совпадает с именем среды рабочего стола. Например, файл конфигурации для gdm (среды Ubuntu по умолчанию, начиная с Ubuntu 16.04), — /etc/pam.d/gdm.

В случае headless сервера (каким является виртуальный сервер), вместо этого вам нужно отредактировать файл /etc/pam.d/common-session. Откройте соответствующий файл в зависимости от вашей среды:

sudo nano /etc/pam.d/common-session

Добавьте выделенные строки в конец файла:

#
# /etc/pam.d/common-session - session-related modules common to all services
#
...
# # and here are more per-package modules (the "Additional" block)
session required pam_unix.so
session optional pam_systemd.so
# end of pam-auth-update config
auth required pam_google_authenticator.so nullok

Теперь Ubuntu будет требовать 2FA, когда пользователь подключается к системе через командную строку (локально или удаленно через SSH), но на запуск команд с sudo это распространяться не будет.

Вы настроили Ubuntu для поддержки 2FA. Теперь пора протестировать конфигурацию и убедиться, что при входе в вашу систему Ubuntu вам будет предложено ввести код безопасности.

4: Тестирование двухфакторной аутентификации

Ранее вы настроили 2FA для генерации кодов каждые 30 секунд. Теперь попробуйте войти в свою среду Ubuntu.

Сначала выйдите из системы и снова войдите в свою среду Ubuntu:

ssh 8host@your_server_ip

Если вы используете аутентификацию на основе пароля, вам будет предложено ввести пароль пользователя:

Примечание : Если на удаленном сервере вы используете аутентификацию по сертификатам, пароль запрошен не будет. Ключ будет передан и принят автоматически. Вам нужно будет ввести только код подтверждения.

Введите пароль, после чего вам будет предложено ввести код 2FA:

Verification code:

После этого вы попадете в систему:

8host@your_server_ip: ~#

Если 2FA была включена только для входа в систему, вам больше не нужно будет вводить коды подтверждения 2FA, пока не закончится сеанс или вы не выйдете вручную.

Если вы включили 2FA через файл common-auth, вам будет предложено указать его также при каждом запросе привилегий sudo:

8host@your_server_ip: ~# sudo -s
sudo password for 8host:
Verification code:
root@your_server_ip:

Вы убедились, что конфигурация 2FA работает должным образом. Если что-то пошло не так и система не запросила у вас коды подтверждения, вернитесь к третьему разделу руководства и убедитесь, что вы отредактировали правильный файл аутентификации Ubuntu.

5: Предотвращение блокировки 2FA

На случай утери или уничтожения мобильного устройства важно предусмотреть методы резервного копирования для восстановления доступа к вашей учетной записи с поддержкой 2FA. Когда вы настраиваете 2FA в первый раз, у вас есть несколько вариантов восстановления доступа после блокировки:

• Сохраните резервную копию ваших секретных кодов конфигурации в безопасном месте. Вы можете сделать это вручную, но некоторые приложения аутентификации, такие как Authy, предоставляют функции резервного копирования кода.
• Сохраните коды восстановления в безопасном месте за пределами среды с поддержкой 2FA, к которому можно получить доступ в случае необходимости.

Если по какой-либо причине у вас нет доступа к параметрам резервного копирования, вы можете попробовать восстановить доступ к локальной среде или удаленному серверу с поддержкой 2FA другим путем.

6: Восстановление доступа к локальной среде (опционально)

Если у вас есть физический доступ к машине, вы можете загрузиться в режиме восстановления, чтобы отключить 2FA. Режим восстановления – это целевой тип (подобный уровню выполнения) в Linux, который используется для выполнения административных задач. Вам нужно будет отредактировать некоторые настройки в GRUB, чтобы войти в режим восстановления.

Чтобы получить доступ к GRUB, сначала перезагрузите компьютер:

Когда появится меню GRUB, убедитесь, что запись Ubuntu выделена. Это имя установки 18.04 по умолчанию, но оно может отличаться, если вы вручную изменили его после установки.

Затем нажмите клавишу e на клавиатуре, чтобы отредактировать конфигурацию GRUB перед загрузкой вашей системы.

Перейдите в конец появившегося файла и найдите строку, которая начинается с linux и заканчивается $vt_handoff. Перейдите в конец этой строки и добавьте systemd.unit=rescue.target. Убедитесь, что вы оставляете пробел между $vt_handoff и systemd.unit=rescue.target. Это позволит машине Ubuntu загрузиться в режиме восстановления.

После внесения изменений сохраните файл с помощью комбинации клавиш Ctrl + X. Ваша машина перезагрузится, и вы окажетесь в командной строке. Нажмите Enter, чтобы перейти в режим восстановления.

Оказавшись в командной строке, откройте конфигурационный файл Google Authenticator, который расположен в домашнем каталоге заблокированного пользователя.

nano /home/8host/.google-authenticator

Первая строка в этом файле – секретный ключ пользователя, который используется для настройки аутентификатора.

Теперь у вас есть два варианта:

1. Вы можете скопировать секретный ключ и настроить аутентификатор.
2. Если вы хотите начать с чистого листа, вы можете полностью удалить файл ~/.google-authenticator, чтобы отключить 2FA для этого пользователя. После повторного входа в систему вы сможете еще раз настроить 2FA и получить новый секретный ключ.

В любом случае вы можете восстановить систему после блокировки 2FA в локальной среде с помощью загрузчика GRUB. Далее мы расскажем, как восстановить доступ к заблокированной удаленной среде.

7: Восстановление доступа к удаленной среде (опционально)

Если ваш аккаунт sudoer заблокирован в удаленной среде, вы можете временно отключить или перенастроить 2FA с помощью пользователя root.

Войдите в систему как пользователь root:

ssh root@your_server_ip

После входа в систему откройте файл настроек Google Authenticator, который находится в домашнем каталоге заблокированного пользователя:

sudo nano /home/8host/.google_authenticator

Первая строка в этом файле — это секретный ключ пользователя, который вам необходим для настройки аутентификатора.

Теперь у вас есть два пути:

1. Если вы хотите настроить новое или стертое устройство, вы можете использовать секретный ключ для перенастройки приложения-аутентификатора.
2. Если вы хотите начать с чистого листа, вы можете полностью удалить файл /home/8host/.google_authenticator, чтобы отключить 2FA для этого пользователя. После входа в систему как пользователь sudo вы сможете еще раз настроить 2FA и получить новый секретный ключ.

При любом из этих вариантов вы сможете восстановиться после случайной блокировки 2FA, используя аккаунт root.

Заключение

В этом мануале вы настроили 2FA на машине Ubuntu 18.04. Двухфакторная аутентификация обеспечивает дополнительный уровень защиты учетной записи и системы в целом. Помимо стандартных учетных данных вам также потребуется ввести дополнительный код подтверждения для входа в систему. Это делает невозможным получить несанкционированный доступ к вашему аккаунту, даже если злоумышленнику удастся получить ваши учетные данные.

Linux - это многопользовательская среда и чтобы пользователь мог начать работу в системе ему нужно пройти процедуру аутентификации. PAM (Pluggable Authentication Modules ) - это система (механизм), которая берет на себя работу по реализации процедур аутентификации. До появления PAM , разработчикам программ, которые были так или иначе связаны с аутентификацией, приходилось подстраивать свою программу под существующие механизмы аутентификации. Соответственно если менялись механизмы аутентификации, значит нужно было менять и программы которые использовали их. Поэтому была разработана система PAM , которая является “прослойкой” между программами и механизмами аутентификации. То есть теперь программы аутентификации (например, программа login ) должны всего лишь уметь работать с системой PAM . Программа передает PAM параметры (например логин и пароль) и ее (программу) уже не “интересует” какой способ аутентификации реализован в системе - аутентификация по паролу или смарт-карте или другой способ. Дальше работает PAM и возвращает программе или успех или отказ.

Посмотрим на систему PAM подробнее. Основные функции, или действия, или задачи которые выполняет система PAM - разбиты на четыре группы которые имеют определенные названия:

группа auth - это действия связанные непосредственно с аутентификацией. То есть действия или функции которые позволяют определить, что вы это вы. Это может быть аутентификация по паролю, по смарт-карте, биометрическая аутентификация (отпечаток пальца и т.д.) и другие.

группа account - это действия связанные с управлением учетными записями. Например, даже если вы аутентифицировались в системе, то вашей учетной записи можно поставить запрет на работу в определенное время суток. Или разрешить заходить в консольном режиме, но запретить заходить в графическом режиме. И т.д.

группа session - действия этой группы осуществляют выделение пользователю необходимых для работы ресурсов. Самый простой пример - это разрешение на монтирование каталогов.

группа password - действия, которые реализуют изменение аутентификационных данных пользователя. Чаще всего это действия по управлению паролями пользователя.

Все эти действия или процедуры (функции) реализованы в виде отдельных модулей, которые расположены в каталоге /lib/security/ . То есть можно сказать, есть модули группы auth , модули группы account и т.д. Соответственно система PAM является модульной и если вам необходимо реализовать биометрическую аутентификацию, то необходимо просто установить модуль, которых может это процедуру выполнить.

Основной конфигурационный файл системы PAM - это файл /etc/pam.conf . Кроме файла /etc/pam.conf , настройки PAM хранятся в файлах каталога /etc/pam.d/ . Внутри каталога находятся текстовые файлы которые содержат в себе последовательность действий (некий алгоритм) для программ которые используют PAM . Например, файл /etc/pam.d/login содержит алгоритм работы системы PAM для программы login , а файл /etc/pam.d/passwd для программы passwd .

Рассмотрим сначала формат файла /etc/pam.conf . Файл состоит из строк. Файл может состоять из одной строки, а может из нескольких строк складываясь в цепочку последовательных действий. Каждая строка описывает одно правило или один шаг такой цепочки (алгоритма). Строка состоит из четырех полей. Первое поле это имя программы к которой относится данный шаг. Второе поле, это тип действия (auth , account , session , password ). Третье поле это поле в котором задается поведение системы PAM после завершения этого шага на этом шаге алгоритма (чуть ниже остановимся подробнее на этом вопросе). Четвертое поле - это имя файла модуля. Также в строке могут присутствовать некоторые параметры передаваемые модулю.

Структура файлов находящихся в каталоге /etc/pam.d/ , такая же. Отличие только в отсутствии первого поля - имени. Так как имя программы берется из имени самого файла. Посмотрим на пример такого файла. Назовем его testpam .

Рассмотрим первую строку. Поле auth говорит, что первым шагом будет аутентификация. Третье поле - это модуль, который будет выполнять аутентификацию и возвращать результат выполнения. В данном примере модуль pam_rootok.so проверяет является ли учетная запись рутом (root ). Если, да то будет возвращен успех (true), если нет, то будет возвращена ошибка или отказ (false). Второе поле - это реакция или влияние полученного результата на цепочку в целом.

Реакция может быть четырех типов: required , requisite , optional , sufficient . На примере строки auth sufficient pam_rootok.so рассмотрим, что означают эти значения.

Если во втором поле установлено значение requisite , то это означает, что если модуль pam_rootok.so завершился с ошибкой, то дальнейшее выполнение файла testpam прерывается и система PAM возвращает приложению ошибку. Если модуль вернул положительные результат, то выполнение цепочки продолжается.

required похож на requisite . Если модуль pam_rootok.so завершился с ошибкой, то PAM также вернет, ошибку, но после того как будут выполнены остальные модули, то есть цепочка не прерывается. Если модуль вернул положительные результат, то выполнение цепочки продолжается.

sufficient - если модуль pam_rootok.so вернул успех, то система PAM возвращает приложению успех, и дальнейшее выполнение цепочки прерывается. Если неудача, то продолжается выполнение цепочки.

optional - этот параметр никак не влияет на ход цепочки. Указывается для тех модулей которые не выполняют никаких проверочных действий. Если в файле будут только строки с параметром optional , то PAM вернет приложению успех.

Более подробно о системе PAM и назначении той или иной библиотеки можно прочитать на сайте http://kernel.org/pub/linux/libs/pam/Linux-PAM-html/Linux-PAM_SAG.html . Сейчас выполним небольшое практическое упражнение которое позволить лучше понять как работает система PAM и как составлять конфигурационные файлы.

Перейдите в каталог /etc/pam.d/ . Скопируйте файл su в домашнюю директорию (чтобы можно было восстановить его) и удалите файл в su из директории /etc/pam.d/ . Попробуйте теперь выполнить команду su в терминале чтобы перейти в режим суперпользователя. После ввода пароля система выдаст ошибку аутентификации, так как отсутствует конфигурационный файл для программы su .

Создаем файл /etc/pam.d/su и пишем в нем такую строку:

Модуль pam_deny.so всегда возвращает ошибку. Какой будет результат? Проверьте. А если заменить requisite на required ?
Теперь напишем в файле следующее правило:

Модуль pam_wheel.so возвращает успех если учетная запись пользователя принадлежит группе wheel . Если попробовать сейчас выполнить команду su , то она тут же завершиться с ошибкой. То есть сейчас команду su смогут выполнить только пользователи, который входят в группу wheel и знают пароль учетной записи root . Если создать группу wheel и добавить туда свою учетную запись, то команда su сработает.

Вот еще пример:

Попробуйте ответить кто сможет успешно выполнить команду su и, что для этого нужно будет сделать?
На этом завершим практическое упражнение (не забудьте вернуть на место оригинальный файл su).

Хочу еще раз подчеркнуть, что конфигурационные файлы в каталоге /etc/pam.d/ можно создавать только для файлов которые используют систему PAM . Например, если создать файл /etc/pam.d/ls со строкой auth requisite pam_deny.so , то команда ls все равно будет выполнятся так как она не использует систему PAM . Чтобы проверить использует ли команда систему PAM можно использовать команду ldd , которой в качестве параметра передается полный путь к файлу команды. Например:

Ключевое слово compat как раз и “говорит” о том что в качестве системы аутентификации, будет использована система PAM .

И еще. Будьте осторожны в экспериментах с PAM . По незнанию или неосторожности можно запросто заблокировать свою систему. Поэтому перед тем как что-то менять обязательно сохраните исходные конфигурационные файлы, чтобы в случае проблем можно было их быстро восстановить.