লিনাক্সে কীভাবে পিএএম কনফিগার এবং ব্যবহার করবেন

লিনাক্স-পাম (ইউনিক্স-পাম আর্কিটেকচার থেকে উদ্ভূত প্লাগেবল অথেনটিকেশন মডিউলগুলির জন্য সংক্ষিপ্ত) লিনাক্স সিস্টেমে ব্যবহারকারীকে অ্যাপ্লিকেশনগুলিতে (বা পরিষেবাদি) গতিশীলভাবে প্রমাণীকরণ করতে ব্যবহৃত শেয়ার্ড লাইব্রেরির একটি শক্তিশালী স্যুট।

এটি একাধিক নিম্ন-স্তরের প্রমাণীকরণ মডিউলগুলিকে একটি উচ্চ-স্তরের এপিআইতে সংহত করে যা অ্যাপ্লিকেশনগুলির জন্য গতিশীল প্রমাণীকরণ সমর্থন সরবরাহ করে। এটি বিকাশকারীদের এমন অ্যাপ্লিকেশন লিখতে অনুমতি দেয় যা অন্তর্নিহিত প্রমাণীকরণ সিস্টেম থেকে স্বতন্ত্রভাবে প্রমাণীকরণের প্রয়োজন হয়।

অনেকগুলি আধুনিক লিনাক্স ডিস্ট্রিবিউশন ডিফল্টরূপে লিনাক্স-প্যাম সমর্থন করে (এরপরে "পিএএম" হিসাবে পরিচিত)। এই নিবন্ধে, আমরা উবুন্টু এবং সেন্টোস সিস্টেমে কীভাবে উন্নত পিএএম কনফিগার করতে হবে তা ব্যাখ্যা করব।

আমরা আরও কিছু করার আগে, নোট করুন:

  • সিস্টেম অ্যাডমিনিস্ট্রেটর হিসাবে, সর্বাধিক গুরুত্বপূর্ণ বিষয় হ'ল পিএএম কনফিগারেশন ফাইল (গুলি) কীভাবে অ্যাপ্লিকেশন (পরিষেবাদি) এবং প্লাগেবল প্রমাণীকরণ মডিউলগুলির (পিএএম) মধ্যে সংযোগ সংজ্ঞা দেয় যা প্রকৃত প্রমাণীকরণের কার্য সম্পাদন করে। আপনাকে অবশ্যই প্যামের অভ্যন্তরীণ কাজ বোঝার দরকার নেই
  • পিএএম আপনার লিনাক্স সিস্টেমের সুরক্ষা গুরুতরভাবে পরিবর্তন করার সম্ভাবনা রাখে। ত্রুটিযুক্ত কনফিগারেশন আপনার সিস্টেমে আংশিক বা সম্পূর্ণভাবে অ্যাক্সেস অক্ষম করতে পারে। উদাহরণস্বরূপ, /etc/pam.d/* এবং/অথবা /etc/pam.conf এর অধীনে একটি কনফিগারেশন ফাইল (গুলি) অপসারণযুক্ত মোছা আপনাকে নিজের সিস্টেম থেকে লক আউট করতে পারে!

একটি প্রোগ্রাম কীভাবে চেক করবেন তা প্যাম সচেতন

পিএএম নিয়োগের জন্য, একটি অ্যাপ্লিকেশন/প্রোগ্রামের "পিএএম সচেতন" হওয়া দরকার; প্যাম ব্যবহারের জন্য এটি বিশেষভাবে রচনা এবং সংকলন করা দরকার। কোনও প্রোগ্রাম "প্যাম-সচেতন" কিনা তা জানতে, এটি ldd কমান্ডটি ব্যবহার করে PAM লাইব্রেরিতে সংকলন করা হয়েছে কিনা তা পরীক্ষা করে দেখুন।

উদাহরণস্বরূপ sshd:

$ sudo ldd /usr/sbin/sshd | grep libpam.so

	libpam.so.0 => /lib/x86_64-linux-gnu/libpam.so.0 (0x00007effddbe2000)

লিনাক্সে কীভাবে পিএএম কনফিগার করবেন

প্যামের প্রধান কনফিগারেশন ফাইল হ'ল /etc/pam.conf এবং /etc/pam.d/ ডিরেক্টরিতে প্রতিটি PAM- সচেতন অ্যাপ্লিকেশন/পরিষেবাদির জন্য PAM কনফিগারেশন ফাইল থাকে। ডিরেক্টরি উপস্থিত থাকলে পিএএম ফাইলটিকে উপেক্ষা করবে।

মূল কনফিগারেশন ফাইলের বাক্য গঠনটি নিম্নরূপ। ফাইলটি একটি একক লাইনে লিখিত বিধিগুলির একটি তালিকা নিয়ে গঠিত (আপনি "\" এস্কেপ অক্ষর ব্যবহার করে বিধিগুলি প্রসারিত করতে পারেন) এবং মন্তব্যগুলি "#" এর আগে রয়েছে চিহ্নিত করুন এবং লাইনের পরবর্তী প্রান্তে প্রসারিত করুন।

প্রতিটি নিয়মের বিন্যাস হ'ল টোকেনের স্থান পৃথকীকরণের সংগ্রহ (প্রথম তিনটি কেস-সংবেদনশীল)। আমরা এই টোকেনগুলি পরবর্তী বিভাগগুলিতে ব্যাখ্যা করব।

service type control-flag module module-arguments

কোথায়:

  • পরিষেবা: প্রকৃত প্রয়োগের নাম
  • প্রকার: মডিউল টাইপ/প্রসঙ্গ/ইন্টারফেস
  • নিয়ন্ত্রণ-পতাকা: পাম-এপিআই-এর আচরণ নির্দেশ করে যে মডিউলটি তার প্রমাণীকরণ কার্যে ব্যর্থ হতে পারে
  • মডিউল: পামের পরম ফাইলের নাম বা আপেক্ষিক পথের নাম
  • মডিউল-যুক্তি: মডিউল আচরণ নিয়ন্ত্রণের জন্য টোকেনগুলির স্থান পৃথকীকরণের তালিকা

/Etc/pam.d/ এ প্রতিটি ফাইলের সিনট্যাক্স মূল ফাইলের অনুরূপ এবং নিম্নলিখিত ফর্মের লাইন দ্বারা গঠিত:

type control-flag module module-arguments

এটি /etc/pam.d/sshd ফাইলে পাওয়া একটি নিয়মের সংজ্ঞা (মডিউল-আর্গুমেন্ট ছাড়াই) উদাহরণ, যা/etc/nologin উপস্থিত থাকলে নন-রুট লগইনগুলি অস্বীকার করে:

account required pam_nologin.so

পিএএম পরিচালন গোষ্ঠী এবং নিয়ন্ত্রণ-পতাকাগুলি বোঝা

পিএএম অনুমোদনের কাজগুলি চারটি স্বতন্ত্র পরিচালন গোষ্ঠীতে বিভক্ত। এই গোষ্ঠীগুলি একটি সীমিত পরিষেবার জন্য একটি সাধারণ ব্যবহারকারীর অনুরোধের বিভিন্ন দিক পরিচালনা করে।

একটি মডিউল এই পরিচালনা গ্রুপ প্রকারের সাথে সম্পর্কিত:

  • অ্যাকাউন্ট: অ্যাকাউন্ট যাচাইকরণের জন্য পরিষেবা সরবরাহ করুন: ব্যবহারকারীর পাসওয়ার্ডের মেয়াদ শেষ হয়ে গেছে ?; এই ব্যবহারকারীকে কি অনুরোধ করা পরিষেবার অ্যাক্সেসের অনুমতি দেওয়া আছে ?.
  • প্রমাণীকরণ: কোনও ব্যবহারকারীকে প্রমাণীকরণ করুন এবং ব্যবহারকারীর শংসাপত্রগুলি সেট আপ করুন
  • পাসওয়ার্ড: ব্যবহারকারীর পাসওয়ার্ড আপডেট করার জন্য এবং দায়বদ্ধকরণ মডিউলগুলির সাথে একসাথে কাজ করার জন্য দায়বদ্ধ
  • সেশন: একটি সেশনের শুরুতে এবং একটি সেশনের শেষে সম্পাদিত ক্রিয়াকলাপগুলি পরিচালনা করুন

পিএএম লোডেবল অবজেক্ট ফাইলগুলি (মডিউলগুলি) নিম্নলিখিত ডিরেক্টরিতে অবস্থিত:/lib/সুরক্ষা/অথবা/lib64/সুরক্ষা স্থাপত্যের উপর নির্ভর করে।

সমর্থিত নিয়ন্ত্রণ-পতাকাগুলি হ'ল:

  • প্রয়োজনীয়: ব্যর্থতা তাত্ক্ষণিকভাবে প্রথম মডিউল ব্যর্থতার প্রকৃতি নির্দেশ করে অ্যাপ্লিকেশনটিতে নিয়ন্ত্রণ ফিরিয়ে দেয়
  • প্রয়োজনীয়: অ্যাপ্লিকেশনটিতে সাফল্য ফিরিয়ে আনতে libpam এর জন্য এই সমস্ত মডিউলগুলির সফল হওয়া প্রয়োজন।
  • পর্যাপ্ত: পূর্ববর্তী সমস্ত মডিউলগুলি সফল হয়ে গেছে, এই মডিউলটির সাফল্যটি তাত্ক্ষণিকভাবে এবং সফলভাবে অ্যাপ্লিকেশনটিতে ফিরে আসে (এই মডিউলটির ব্যর্থতা উপেক্ষা করা হবে)
  • alচ্ছিক: এই মডিউলটির সাফল্য বা ব্যর্থতা সাধারণত রেকর্ড করা হয় না

উপরের কীওয়ার্ডগুলি ছাড়াও অন্য দুটি বৈধ নিয়ন্ত্রণ পতাকা রয়েছে:

  • অন্তর্ভুক্ত করুন: কনফিগারেশন ফাইল থেকে প্রদত্ত ধরণের সমস্ত লাইনকে এই নিয়ন্ত্রণের জন্য একটি আর্গুমেন্ট হিসাবে উল্লেখ করা হয়েছে include
  • সাবস্টাক: কনফিগারেশন ফাইল থেকে প্রদত্ত ধরণের সমস্ত লাইনকে এই নিয়ন্ত্রণের জন্য একটি আর্গুমেন্ট হিসাবে উল্লেখ করা হয়েছে।

কীভাবে পিএএম এর মাধ্যমে এসএসএইচ পরিষেবাতে রুট অ্যাক্সেসকে সীমাবদ্ধ করবেন

উদাহরণস্বরূপ, আমরা এসএসএইচ এবং লগইন প্রোগ্রামগুলির মাধ্যমে কোনও সিস্টেমে রুট ব্যবহারকারীর অ্যাক্সেস অক্ষম করতে পাম কীভাবে ব্যবহার করবেন তা কনফিগার করব। এখানে, আমরা লগইন এবং এসএসডি পরিষেবাদিগুলিতে অ্যাক্সেস সীমাবদ্ধ করে কোনও সিস্টেমে রুট ব্যবহারকারী অ্যাক্সেস অক্ষম করতে চাই।

আমরা /lib/security/pam_listfile.so মডিউলটি ব্যবহার করতে পারি যা নির্দিষ্ট অ্যাকাউন্টগুলির সুবিধাগুলি সীমাবদ্ধ করার ক্ষেত্রে দুর্দান্ত নমনীয়তা সরবরাহ করে। /Etc/pam.d/ ডিরেক্টরিতে লক্ষ্য হিসাবে পরিষেবার জন্য ফাইলটি খুলুন এবং সম্পাদনা করুন।

$ sudo vim /etc/pam.d/sshd
OR
$ sudo vim /etc/pam.d/login

উভয় ফাইলে এই নিয়ম যুক্ত করুন।

auth    required       pam_listfile.so \
        onerr=succeed  item=user  sense=deny  file=/etc/ssh/deniedusers

উপরের নিয়মে টোকেনগুলি ব্যাখ্যা করা:

  • auth: মডিউল টাইপ (বা প্রসঙ্গ)
  • প্রয়োজনীয়: একটি নিয়ন্ত্রণ-পতাকা যা এর অর্থ মডিউলটি ব্যবহৃত হয়, এটি অবশ্যই পাস করতে হবে বা অন্যান্য ফলাফলের মডিউল নির্বিশেষে সামগ্রিক ফলাফলটি ব্যর্থ হবে
  • pam_listfile.so: একটি মডিউল যা একটি স্বেচ্ছাসেবী ফাইলের উপর ভিত্তি করে পরিষেবাগুলিকে অস্বীকার করার বা অনুমতি দেওয়ার একটি উপায় সরবরাহ করে
  • অনার = সফল: মডিউল যুক্তি
  • আইটেম = ব্যবহারকারী: মডিউল যুক্তি যা ফাইলটিতে তালিকাবদ্ধ রয়েছে তা নির্দিষ্ট করে এবং এর জন্য যাচাই করা উচিত
  • জ্ঞান = অস্বীকার করুন: মডিউল যুক্তি যা ফাইলটিতে পাওয়া গেলে ব্যবস্থা নিতে নির্দিষ্ট করে, যদি আইটেমটি ফাইলে পাওয়া যায় না, তবে বিপরীত ক্রিয়াটি অনুরোধ করা হয়েছে
  • ফাইল =/etc/ssh/অস্বীকারকারী: মডিউল যুক্তি যা প্রতি লাইনে একটি আইটেমযুক্ত ফাইল সুনির্দিষ্ট করে

এরপরে, আমাদের/etc/ssh/অস্বীকারকারী ফাইল তৈরি করতে হবে এবং এতে নাম রুট যুক্ত করতে হবে:

$ sudo vim /etc/ssh/deniedusers

পরিবর্তনগুলি সংরক্ষণ করুন এবং ফাইলটি বন্ধ করুন, তারপরে এটির প্রয়োজনীয় অনুমতিগুলি সেট করুন:

$ sudo chmod 600 /etc/ssh/deniedusers

এখন থেকে উপরের নিয়মটি পিএএম/কে/ইত্যাদি/এসএসএস/অস্বীকৃত ফাইলগুলির সাথে পরামর্শ করতে এবং কোনও তালিকাভুক্ত ব্যবহারকারীর জন্য এসএসএইচ এবং লগইন পরিষেবাদিতে অ্যাক্সেস অস্বীকার করতে বলবে।

লিনাক্সে কীভাবে অ্যাডভান্সড পিএএম কনফিগার করা যায়

আরও জটিল পিএএম নিয়মগুলি লিখতে, আপনি নিম্নলিখিত ফর্মটিতে বৈধ নিয়ন্ত্রণ-পতাকা ব্যবহার করতে পারেন:

type [value1=action1 value2=action2 …] module module-arguments

যেখানে মান এনডিউড ফাংশন থেকে রিটার্ন কোডটির সাথে মডিউলটিতে অনুরোধ করা হয়েছে যার জন্য লাইনটি সংজ্ঞায়িত করা হয়েছে। অন-লাইন পিএএম প্রশাসকের গাইড থেকে আপনি সমর্থিত মানগুলি খুঁজে পেতে পারেন। একটি বিশেষ মান হ'ল ডিফল্ট, যা স্পষ্টভাবে উল্লেখ করা হয়নি এমন সমস্ত ভ্যালনএনকে বোঝায়।

অ্যাকশনএন নিম্নলিখিত ফর্মগুলির একটি নিতে পারে:

  • উপেক্ষা করুন: যদি এই ক্রিয়াটি মডিউলগুলির একটি স্ট্যাকের সাথে ব্যবহৃত হয়, মডিউলটির রিটার্নের স্থিতি অ্যাপ্লিকেশন প্রাপ্ত রিটার্ন কোডে অবদান রাখবে না
  • খারাপ: ইঙ্গিত দেয় যে রিটার্ন কোডটি মডিউল ব্যর্থতার সূচক হিসাবে মনে করা উচিত। যদি এই মডিউলটি ব্যর্থ হয়ে স্ট্যাকের মধ্যে প্রথম হয় তবে এর স্ট্যাটাস মানটি পুরো স্ট্যাকের জন্য ব্যবহার করা হবে
  • ডাই: খারাপ এর সমতুল্য তবে মডিউল স্ট্যাক এবং PAM অবিলম্বে অ্যাপ্লিকেশনটিতে ফিরে আসতে পারে
  • ঠিক আছে: এটি পিএএমকে নির্দেশ দেয় যে সিস্টেম প্রশাসক মনে করেন যে এই রিটার্ন কোডটি মডিউলগুলির পুরো স্ট্যাকের রিটার্ন কোডে সরাসরি অবদান রাখতে হবে
  • সম্পন্ন হয়েছে: ঠিক আছে সমান তবে মডিউল স্ট্যাক এবং PAM অবিলম্বে অ্যাপ্লিকেশনটিতে ফিরে আসতে পারে returning
    • li
  • এন (একটি স্বাক্ষরযুক্ত স্বাক্ষর পূর্ণসংখ্যার): ঠিক আছে এর সমতুল্য তবে স্ট্যাকের পরবর্তী এন মডিউলগুলিতে ঝাঁপিয়ে পড়তে পারে
  • পুনরায় সেট করুন: এই ক্রিয়াটি মডিউল স্ট্যাকের অবস্থার সমস্ত স্মৃতি সাফ করে এবং পরবর্তী স্ট্যাকড মডিউলটির সাথে পুনরায় আরম্ভ করবে

চারটি কীওয়ার্ডের প্রতিটি: প্রয়োজনীয়; প্রয়োজনীয়; পর্যাপ্ত; এবং alচ্ছিক, [...] সিনট্যাক্সের ক্ষেত্রে একটি সমতুল্য ভাব প্রকাশ করুন, যা আপনাকে আরও জটিল নিয়ম লেখার অনুমতি দেয় এবং সেগুলি হ'ল:

  • প্রয়োজনীয়: [সাফল্য = ঠিক আছে new_authtok_reqd = ঠিক আছে উপেক্ষা করুন = ডিফল্ট অগ্রাহ্য করুন = খারাপ]
  • প্রয়োজনীয়: [সাফল্য = ঠিক আছে new_authtok_reqd = ঠিক আছে উপেক্ষা করুন = ডিফল্ট অগ্রাহ্য করুন = মারা যান]
  • পর্যাপ্ত: [সাফল্য = নতুন করা হয়েছে_আউথটোক_আরকিডি = সম্পন্ন ডিফল্ট = উপেক্ষা করুন]
  • alচ্ছিক: [সাফল্য = ঠিক আছে new_authtok_reqd = ঠিক আছে ডিফল্ট = উপেক্ষা করুন]

নিম্নলিখিতটি আধুনিক সেন্টোস 7 সিস্টেমের একটি উদাহরণ is আসুন /etc/pam.d/postlogin PAM ফাইল থেকে এই নিয়মগুলি বিবেচনা করা যাক:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
session     [success=1 default=ignore] pam_succeed_if.so service !~ gdm* service !~ su* quiet
session     [default=1]   pam_lastlog.so nowtmp showfailed
session     optional      pam_lastlog.so silent noupdate showfailed

এখানে /etc/pam.d/smarcard-auth পিএএম ফাইল থেকে অন্য একটি কনফিগারেশন রয়েছে:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        [success=done ignore=ignore default=die] pam_pkcs11.so nodebug wait_for_card
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

password    required      pam_pkcs11.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

আরও তথ্যের জন্য, pam.d ম্যান পৃষ্ঠাটি দেখুন:

$ man pam.d

সর্বশেষে, লিনাক্স-প্যামের ডকুমেন্টেশনে কনফিগারেশন ফাইল সিনট্যাক্স এবং সমস্ত পিএএম মডিউলগুলির একটি বিস্তৃত বিবরণ পাওয়া যাবে।

পিএএম একটি শক্তিশালী উচ্চ-স্তরের এপিআই যা লিনাক্স সিস্টেমের অ্যাপ্লিকেশনগুলিতে খাঁটি ব্যবহারকারীদের প্রমাণীকরণের উপর নির্ভর করে এমন প্রোগ্রামগুলিকে অনুমতি দেয়। এটি শক্তিশালী তবে বুঝতে এবং ব্যবহার করা খুব চ্যালেঞ্জিং।

এই নিবন্ধে, আমরা কীভাবে উবুন্টু এবং সেন্টস-এ প্যামের উন্নত বৈশিষ্ট্যগুলি কনফিগার করতে হবে তা ব্যাখ্যা করেছি। আপনার যদি ভাগ করে নিতে কোনও প্রশ্ন বা মন্তব্য থাকে তবে নীচের প্রতিক্রিয়া ফর্মটি ব্যবহার করুন।