pam.d 모듈 설명

LINUX PAM

사용자를 인증하고 그 사용자의 서비스에 대한 액세스를 제어하는 모듈화된 방법. PAM은 관리자가 응용포로그램들의 사용자인증방법을 선택할 수 있도록 해준다. 즉, Linux System에 대한 권한, 설정등을 하는데 있어서 유연성, 보안성을 제공하기 위한 소프트 웨어라고 생가하면 된다.

 

관련 디렉토리

/etc/pam.d – 서비스+시스템의 인증 설정 파일

/lib/x86_64-linux-gnu/security - PAM인증 모듈(리눅스 버전에 따라 다를 수 있음)

 

 

PAM인증 설정 파일의 구조

 

[Auth Type] [Control Flag] [Module_Path] [Module_Argument]

Auth Type

auth : 이 모듈타입은 사용자 인증의 두가지 면을 제공한다. 첫째는, 응용프로그램이 사용자에게 패스워드를 물어보거나 다른 확인 방법을 사용하도록 해서 그 사용자가 자신이 주장하는 사람이 맞는지 확인하는 것이다. 두번째는, 그룹 멤버쉽을 주거나 (앞서 이야기한 /etc/groups파일에 있는 내용을 통해서) credential(신임)속성을 통해 다른 권한을 주는 것이다.

account : 이 모듈은 인증이 아닌 계정관리를 수행한다. 이것은 보통 시간/날짜나 현재의 시스템 자원 상황(최대 사용자수)이나 사용자의 위치('root'는 콘솔에서만 로그인이 가능하다)등에 따라 서비스에 대한 접근을 허가하거나 제한하는 것이다.

password : 사용자와 연관된 인증토큰 (패스워드)들을 갱신할 때 필요하다. 보통, challenge/response 방식에 기반한 인증모듈 종류별로 각각 하나의 password모듈씩이 존재한다.

session : 서비스를 사용하기 직전/직후에 필요한 작업과 관련이 있다. 이러한 것들은 사용자와 교환할 어떤 데이터들의 opening/closing과 관련한 정보들의 기록, 디렉토리의 마운트 등이 해당된다.

Control Flag : 통제를 담당하는 부분으로 PAM에 무엇을 해야할 지를 알려준다. 4가지의 형식이 있다.

required

성공 : 다음 모듈을 실행(영향 X)

실패 : 다음 모듈을 실행(다른 모듈이 성공을 해도 무조건 실패를 반환/최종 실패)

sufficient

성공 : 다음 모듈을 실행하지 않고 중단(최종 성공)

실패 : 다음 모듈을 실행(다른 모듈에게 영향을 주지 않음)

requisite

성공 : 다음 모듈을 실행(영향 X)

실패 : 다음 모듈을 실행하지 않고 중단(최종 실패)

optional

성공, 실패에 중요치 않고 모듈을 실행

주요 모듈

 

pam_permit.so

-무조건 성공 반환

-auth type 모두 가능

EX)auth sufficient pam_permit.so

//인증에 있어서 해당 계정과 비밀번호에 대해서 일치하는지 유무를 보지않고 무조건 성공

 

pam_deny.so

-무조건 실패

-auth type 모두 가능

-실패 시 각기 인증 종류에 따라서 다른 결과를 리턴하나 무조건 실패

 

pam_access.so

-Login Access Control Table

-로그인 시 접근제어 리스트를 이용하여 허용과 차단설정

-/etc/security/access.conf 사용

-auth type모두 가능

-리턴 값은 /etc/security/access.conf에 따라 달라짐

/etc/security/access.conf 필드 설정

[permission] : [users] : [origins]

permission : 권한(+허용,-거부)

users : 계정, 그룹, ALL

origins : IP, HOST, 네트워크 대역, ALL

EX)ssh에서 192.168.0.10에서 들어오는 IP차단

/etc/pam.d/sshd

auth required pam_access.so

/etc/security/access.conf

-:ALL:192.168.0.10

+:ALL:ALL

 

pam_time.so

-시간을 이용하여 인증 모듈을 사용

-auth type은 account만 가능

-/etc/security/time.conf를 이용하여 제어

-계정에 대한 비밀번호와 무관하게 들어오는 계정을 시간을 이용하여 차단, 허용

/etc/security/time.conf 필드 설정

[services] ; [ttys] ; [users] ; [times]

services : 적용할 서비스

ttys : 적용할 터미널 방식

users : 계정, 그룹, *

times : 시간과 분, 날짜 기록(시간은 24시로 HHMM)

EX)ssh에서 test라는 계정에 대해서 수요일 오전 9시부터 오후5시까지 접근허용, 나머진 불가

/etc/pam.d/sshd

account required pam_time.so

/etc/security/time.conf

sshd;*;test;we0900-1700

 

pam_listfile.so

-파일에 있는 목록을 이용하여 접근제어

-auth type모두 가능

-Module-Argument사용

-옵션, Item, TIME, Sense, file, onerr, apply, quiet등이 있음

Item

=파일에 있는 목록을 어떠한 종류의 항목으로 할 것인지

tty | user | rhost | ruser | rgroup | shell

file

=어떤 경로에 파일이 위치하는지 지정

Sense

=파일의 목록을 item에 따라서 해당 목록에 있는 값과 일치하는 경우 allow이면 내용을 보여주고 deny이면 거부

onerr

=에러가 발생시 어떻게 처리 할지를 경정

=succed | fail

=옵션을 사용할 경우 파일의 경로를 찾아 갔을 때 지정한 파일이 경로에 존재하지 않을 경우 모듈의 값을 성공으로 할 것인지 실패로 할 것인지 설정

=Sense가 allow이면 onerr는 fail

EX)ssh를 사용할 수 있는 계정을 test로만 설정

/etc/pam.d/sshd

auth required pam_listfile.so item=user sense=allow onerr=fail file=/etc/security/list.list

/etc/security/list.list

test

 

pam_secceed_if.so

-if문을 사용하듯이 사용

-옵션 값이 사용됨

-auth type 모두 가능

-옵션: user, group, shell, uid, gid, home, service

field [관계연산자] 값

EX) user = test // 계정이 test라면

uid = 500 // uid값이 500이라면

gid >= 500 // gid값이 500이상이라면

user ingroup test // 해당 계정이 test그룹안에 포함되어 있다면

user notingroup test // 해당 계정이 test 그룹안에 포함되어 있지 않다면

use_uid // 현재 사용하는 계정을 이용

quiet // 실패시 기록 남김

auth required pam_succeed_if.so user = test

 

pam_rootok.so

-root 계정일 시 무조건 성공 반환

-root 계정이 아닐 시 무조건 실패

-auth type은 auth만 가능

EX)su에서 root에서 다른 계정으로 넘어갈 시 비밀번호에 대해서 묻지않게 설정

/etc/pam.d/su

auth sufficient pam_rootok.so

 

pam_wheel.so

-계정이 wheel그룹안에 포함되어 있다면 성공 그렇지 않으면 실패

-auth type은 auth, account가능

-계정 그룹을 이용하여 접근 제어하고자 할 경우 많이 사용

 

pam_env.so

-환경 변수에 대한 설정을 하여 성공, 실패

-환경 변수에 대한 적용/ 미적용 (기본값은 미적용)

-기본적으로 무조건 성공

-auth type은 auth, session가능

 

pam_fprintd.so

-패스워드 프롬프트를 대신하는 인증 서비스

-현재는 사용하지 않음.

-무조건 실패

 

pam_unix.so

-현재 사용하는 패스워드 인증 모듈

-기존 유닉스 계열의 운영체제의 패스워드 인증 모듈

-/etc/passwd, /etc/shadow 파일을 참조하여 패스워드 인증.

 

 

PAM을 응용한 예시

proftpd

보안을 위해 ftpusers를 사용하지 않고 root만 로그인 가능하도록 설정.

 

[root]#rm -rf /etc/ftpusers

 

[root]#vim /etc/proftpd/proftpd.conf

DefaultRoot ~ //주석 제거

RootLogin ON //추가

 

AuthOrder mod_auth_pam.c* mod_auth_unix.c //주석 제거

 

[root]#vim /etc/pam.d/proftpd

#auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed //주석

auth required pam_nologin.so //추가

 

[root]#vim /etc/pam.d/login

#auth required pam_nologin.so //주석 제거

 

[root]#touch /etc/nologin