#%PAM-1.0
auth required pam_securetty.so
auth required pam_unix.so shadow nullok
auth required pam_nologin.so
account required pam_unix.so
password required pam_cracklib.so retry=3
password required pam_unix.so shadow nullok use_authtok
session required pam_unix.so

La primera l�nea es un comentario como lo es toda l�nea que inicie con el car�cter (#).

Las l�neas dos, tres y cuatro apilan tres m�dulos a usar para autentificaciones de inicio de sesi�n.

auth required pam_securetty.so

Este m�dulo se asegura de que si el usuario est� tratando de conectarse como root, el tty en el cual el usuario se est� conectando est� listado en el archivo /etc/securetty, si ese archivo existe.

auth required pam_unix.so shadow nullok

Este m�dulo le solicita al usuario por una contrase�a y luego verifica la contrase�a usando la informaci�n almacenada en /etc/passwd y, si existe, en /etc/shadow. El m�dulo pam_unix.so detecta autom�ticamente y utiliza contrase�as shadow para autenticar usuarios. Por favor consulte la Secci�n 6.5 para m�s informaci�n.

El argumento nullok instruye al m�dulo pam_unix.so a que permita una contrase�a en blanco.

auth required pam_nologin.so

Este es el paso final de la autenticaci�n. Verifica si el archivo /etc/nologin existe. Si nologin existe y el usuario no es root, la autenticaci�n falla.

Nota	Nota
En este ejemplo, los tres m�dulos `auth`, a�n si el primer m�dulo `auth` falla. Esto previene al usuario de saber a qu� nivel falla la autenticaci�n. Tal conocimiento en las manos de una persona mal intencionada le permitir�a violar el sistema f�cilmente.

account required pam_unix.so

Este m�dulo realiza cualquier verificaci�n de cuenta necesaria. Por ejemplo, si las contrase�as shadow han sido activadas, el componente de la cuenta del m�dulo pam_unix.so verificar� para ver si la cuenta ha expirado o si el usuario no ha cambiado la contrase�a dentro del per�odo de gracia otorgado.

password required pam_cracklib.so retry=3

Si la contrase�a ha expirado, el componente de la contrase�a del m�dulo pam_cracklib.so le pide por una nueva contrase�a. Luego eval�a la nueva contrase�a para ver si puede ser f�cilmente determinado por un programa que descubre las contrase�as basadas en diccionario. Si esto falla la primera vez, le d� al usuario dos oportunidades m�s de crear una contrase�a m�s robusta debido al argumento retry=3.

password required pam_unix.so shadow nullok use_authtok

Esta l�nea especifica que si el programa cambia la contrase�a del usuario, �ste deber�a usar el componente password del m�dulo pam_unix.so para realizarlo. Esto suceder� tan s�lo si la porci�n auth del m�dulo pam_unix.so ha determinado que la contrase�a necesita ser cambiada.

El argumento shadow le dice al m�dulo que cree contrase�as shadow cuando se actualiza la contrase�a del usuario.

El argumento nullok indica al m�dulo que permita al usuario cambiar su contrase�a desde una contrase�a en blanco, de lo contrario una contrase�a vac�a o en blanco es tratada como un bloqueo de cuenta.

El argumento final de esta l�nea, use_authtok, proporciona un buen ejemplo de la importancia del orden al apilar m�dulos PAM. Este argumento advierte al m�dulo a no solicitar al usuario una nueva contrase�a. En su lugar se acepta cualquier contrase�a que fu� registrada por un m�dulo de contrase�a anterior. De este modo, todas las nuevas contrase�as deben pasar el test de pam_cracklib.so para contrase�as seguras antes de ser aceptado.

session required pam_unix.so

La �ltima l�nea especifica que el componente de la sesi�n del m�dulo pam_unix.so gestionar� la sesi�n. Este m�dulo registra el nombre de usuario y el tipo de servicio a /var/log/messages al inicio y al final de cada sesi�n. Puede ser complementado apil�ndolo con otros m�dulos de sesi�n si necesita m�s funcionalidad.

El pr�ximo ejemplo de archivo de configuraci�n ilustra el apilamiento del m�dulo auth para el programa rlogin.

#%PAM-1.0
auth required pam_nologin.so
auth required pam_securetty.so
auth required pam_env.so
auth sufficient pam_rhosts_auth.so
auth required pam_stack.so service=system-auth

Primero, pam_nologin.so verifica para ver si /etc/nologin existe. Si lo hace, nadie puede conectarse excepto root.

auth required pam_securetty.so

El m�dulo pam_securetty.so previene al usuario root de conectarse en terminales inseguros. Esto desactiva efectivamente a todos los intentos de root rlogin debido a las limitaciones de seguridad de la aplicaci�n.

Sugerencia	Sugerencia
Para conectarse remotamente como usuario root, use OpenSSH. Para m�s informaci�n, consulte el Cap�tulo 20.

auth required pam_env.so

El m�dulo carga las variable de entorno especificadas en /etc/security/pam_env.conf.

auth sufficient pam_rhosts_auth.so

El m�dulo pam_rhosts_auth.so autentifica al usuario usando .rhosts en el directorio principal del usuario. Si tiene �xito, PAM considera inmediatamente la autenticaci�n como exitosa. Si falla pam_rhosts_auth.so en autenticar al usuario, el intento de autenticaci�n es ignorado.

auth required pam_stack.so service=system-auth

Si el m�dulo pam_rhosts_auth.so falla en autenticar al usuario, el m�dulo pam_stack.so realiza la autenticaci�n de contrase�as normal.

El argumento service=system-auth indica que el usuario debe pasar a trav�s de la configuraci�n PAM para la autenticaci�n del sistema como se encuentra en /etc/pam.d/system-auth.

Sugerencia	Sugerencia
Si no desea que se pida la contrase�a cuando el control `securetty` fracasa, cambie el m�dulo `pam_securetty.so` de `required` a `requisite`.

Anterior	Inicio	Siguiente
Formato del archivo de configuraci�n PAM	Subir	Creaci�n de m�dulos PAM

Published under the terms of the GNU General Public License Design by Interspire