70945 s402

402 Pozna] Linux

on dostęp do zasobów systemu. Podobnie jak w przypadku plików konfiguracyjnych passwd i groups. zrozumienie modułu PAM przygotowuje nas na radzenie sobie z potencjalnymi problemami związanymi z bezpieczeństwem systemu.

Poprawianie bezpieczeństwa systemu z wykorzystaniem modułu PAM

Mając na celu oddzielenie procedur uwierzytelniających od aplikacji, programiści lmuksowi zwrócili się w stronę systemu Solaris i opracowali linuksową implementację modułu PAM. Odseparowanie metod uwierzytelniania od uruchamianych programów umożliwia administratorom systemu implementowanie własnych procedur bezpieczeństwa i zmuszanie aplikacji do ich stosowania.

Poniższy podrozdział opisuje podstawowe elementy systemu PAM, jego instalację, plik konfiguracyjny oraz niektóre z modułów dostarczanych w dystrybucji Red Hat.

SetGID

SetGrD działa bardzo podobnie do SetUID. Programy opatrzone prawem dostępu SetGID są wykonywane z prawami dostępu grupy, do której należą, zamiast praw grupy, w skład której wchodzi użytkownik je uruchamiający. Prawo dostępu SetGID jest oznaczane przez cyfrę 2 umieszczoną przed liczbą opisującą zwykłe prawa dostępu: frootSinaoc /rootlf chmod 2755 /ust/looal/haekups/foackup_level 0 Wyświetlając nazwy plików za pomocą 3 s -l możemy stwierdzić, czy dany plik posiada prawa dostępu SetUID i SetGID. Prawa dostępu do plików SetUID zawierają s tam. gdzie powinno znajdować się pierwsze x, a w przypadku plików SetGID - s zamiast drugiego x.

Instalowanie PAM-a

Jeśli przeprowadziliśmy standardową instalację dystrybucji Red Hat, wówczas prawdopodobnie posiadamy już zainstalowany moduł PAM. Jeśli nie, nie musimy się tym przejmować; instalacja jest bardzo prosta.

Na początek należy zdobyć wersję instalacyjną PAM-a (w formacie . rpm). Jeśli nie ma jej na dysku instalacyjnym Linuksa, powinniśmy zajrzeć na stronę http://www. redhat .com. Wersja, którą będziemy opisywać, nosi numer 0.57, z plikiem konfiguracyjnym w wersji 0.51. Oto polecenia instalujące pakiet PAM:

[root@insoc /root]ł rpm -i pam-0.57-2.1386 . rpir.

[root0in3OC /rootl# rpm -1 pamconfig-0.51-7.1386.rpm Jeśli pakiet PAM jest już zainstalowany, zostaniemy o tym poinformowany przez rpm. Jeśli posiadamy starszą wersję, musimy dodać do powyższych poleceń opcję -U, umożliwiając rpm przeprowadzenie aktualizacji