운영체제/pam (5) 썸네일형 리스트형 [PAM] pam_tally.so, pam_tally2.so pam_tally.so, pam_tally2.so >> 계정 잠금 설정 pam /etc/pam.d/sshd는 password-auth /etc/pam.d/login은 system-auth # vi /etc/pam.d/system-auth //login 이므로 renlevel3 옵션 deny=3 : 3회 입력 실패시 패스워드 잠금 unlock_time = 계정 잠금후 해제되는 시간 (초) reset = 접속시도 성공시 실패한 횟수 초기화 even_deny_root : root 는 기본적으로 안잠기고 이옵션을 사용해야 잠김 수동으로 계정잠금 풀어주기 (root에서만 가능) # pam_taill2 --user test01 --reset 번외) window에서 계정 잠금 설정 lusrmgr.msc 실행에서 계정.. [PAM] pam_wheel.so pam_wheel.so (중요한 편!) root로 접근하는 사용자가 wheel 그룹의 구성원인 경우에만 허용하기 위해 사용한다. mama라는 계정을 생성하면서 그룹은 wheel로 지정한다. # useradd mama -g wheel //2차 그룹이면 G # passwd mama # vi /etc/pam.d/su 수정(7행) ==> ktest는 wheel 그룹 아니라서 비밀번호를 입력해야 su 사용 가능하다. ==> mama는 wheel 그룹 소속이므로 인증성공한다. 비밀번호를 묻지 않고 더이상 진행X 성공 : 다른 required 조건도 성공 -> mama는 비밀번호까지 입력 실패 : 실패되면 다른 조건의 성공 여부에 상관 없이 무조건 실패 -> 비밀번호 맞아도 실패 [PAM] pam_listfile.so, pam_motd.so pam_listfie.so 사용자가 사용할 수 있는 로그인 세션의 자원을 설정 파일에 따라 제한한다. 모듈은 session type에서만 사용 가능 설정 파일 : /etc/security/limits.conf # echo ktest > /etc/userlist //ktest 계정을 리스트에 추가한다. # cat /etc/userlist ktest # vi /etc/pam.d/sshd 에 설정 위 : ktest만 허용 (특정 사용자만 허용 => 화이트 리스트) 밑 : ktest만 거부 (특정 사용자만 거부 => 블랙 리스트) ftp 로 root 접속 시 거절되었던 이유 # vi /etc/pam.d/vsftpd 를 보면 pam_listfie.so이 설정되어 있음 file에 root가 들어있는 것을 볼 수 있.. [PAM] pam_rootok.so, pam_permit.so, pam_deny.so pam_rootok.so >> 사용자가 root거나 UID=0이면 무조건 모듈 성공 # vim /etc/pam.d/su # 수정 전과 후 /etc/pam.d/su #%PAM-1.0 #auth sufficient pam_rootok.so auth required pam_rootok.so required 이미 실패이나 끝까지 간다음에 실패처리 .. (비밀번호까지 물어본다) requisite ==> 즉시 인증 거부 pam_permit.so 무조건 성공을 반환한다 ==>비밀번호 없이 접근 가능 pam_deny.so [PAM] Linux 인증 모듈 PAM (Pluggable Authentication Modules) 응용 프로그램에서 사용자 인증을 수행할 수 있게 공통적인 인증 방법을 제공하는 인증 모듈 인증 모듈의 교체 및 추가/삭제가 용이 하다. 개발자가 작성한 코드에 의한 인증이 아닌 시스템 관리자가 직접 응용프로그램의 인증 동작을 제어한다. PAM의 동작 원리 프로그램에서 사용자 인증 필요 시 PAM 라이브러리 함수 호출 한다. PAM 인증 절차 1) 사용자가 서비스를 이용 받기 위해 접근 /etc/pamd.d (인증받을 서비스 목록) 2) 프로세스(로컬,데몬)은 PAM에 인증 요청 각 프로세스마다 모듈 구성이 다르다. # ls /etc/pam.d/ ex) su가 PAM 인증 사용할 시 vi /etc/pam.d/su ==> # vi /etc.. 이전 1 다음