5.8.1 Configurazione

Il file di configurazione della libreria PAM è in formato testo e contiene delle righe con la seguente sintassi

service-name module-type control-flag module-path args
dove

service-name è il nome del servizio associato alla riga corrente del file di configurazione. In genere coincide con il nome dell’applicazione che fornisce il servizio (per esempio ftpd, su, ...). Esiste un particolare service-name riservato per definire il meccanismo di autenticazione di default: other (il meccanismo di autenticazione specificato in questo modo viene utilizzato soltanto nel caso che per un determinato servizio non ne sia stato specificato uno apposito).
module-type è l’indicazione del tipo di modulo. Può assumere uno dei seguenti valori possibili:
- auth è il tipo di modulo che fornisce due aspetti dell’autenticazione degli utenti: prima verifica che l’utente sia chi dice di essere, richiedendo all’applicazione la password (o altro) per l’identificazione, poi assegna i privilegi all’utente;
- account è il tipo di modulo che esegue la gestione degli account relativa agli aspetti che non si basano sull’autenticazione (per esempio la restrizione degli accessi ad un servizio basata sull’ora del giorno, sul numero massimo di utenti ai quali è permesso accedere, ...).
- session è il tipo di modulo che si preoccupa di eseguire le operazioni necessarie subito prima che l’utetne acceda ad un servizio o subito dopo che questi ha concluso il suo accesso (la registrazione delle operazioni in un file di log, il mounting di directory, ...);
- password è il tipo di modulo richiesto per l’aggiornamento del token di autenticazione assoiato all’utente (tipicamente esiste un modulo per ogni tipo di autenticazione basato sul meccanismo “challenge/response”.

control-flag è l’indicazione del tipo di reazione che la libreria PAM deve avere nel caso di successo o fallimento del modulo module-path. Poiché più moduli possono essere eseguiti in cascata, questo definisce l’importanza relativa di ogni modulo: l’applicazione non deve conoscere il dettaglio del successo/insuccesso dei singoli moduli, ma riceve un esito che la informa del successo/insuccesso dell’insieme di moduli ad essa associati. L’ordine di esecuzione dei moduli è quello in cui questi appaiono nel file di configurazione. Il control-flag può essere definito utilizzando una delle sintassi ripotrate di seguito

• una parola chiave che indica l’importanza associata all’esito di uno specifico modulo. Le possibili parole chiave, in ordine di importanza derescente sono riportate di seguito
- required indica che il successo del modulo è richiesto affinché l’intero cascata dei moduli abbia successo. L’applicazione riceverà l’esito del fallimento soltanto quando tutti i moduli hanno eseguito il loro compito.
- requisite identico a required, tranne per il fatto che se uno dei moduli fallisce, tale risultato viene immediatamente ritornato all’applicazione (senza procedere con gli eventuali altri moduli in cascata). Questo è utilizzato in genere quando il sistema di autenticazione avviene attraverso un canale insicuro;
- sufficient indica che nel caso in cui nessuno dei moduli required precedenti abbia fallito, i moduli di questo livello non devono essere invocati. Il fallimento dei moduli di questo livello non è ritenuto fondamentale per l’esito dell’intera catena dei moduli;
- optional indica che l’esito del modulo non deve influire sull’esito dell’intera catena. Ovviamente, in caso di esito indefinito per gli altri moduli, questo ne influenza l’esito definitivo.
• una sintassi più complessa (più recente) che dà maggiore flessibililtà sul controllo sul processo di autenticazione. La sintassi è la seguente:
[value1=action1 value2=action2 ...]
dove
- valuen indica il valore di ritorno del metodo e può assumere uno dei seguenti valori:
  - success
  - open_err
  - symbol_err
  - service_err
  - system_err
  - buf_err
  - perm_denied
  - auth_err
  - cred_insufficient
  - authinfo_unavail
  - user_unknown
  - maxtries
  - new_authtok_reqd
  - acct_expired
  - session_err
  - cred_unavail
  - cred_expired
  - cred_err
  - no_module_data
  - conv_err
  - authtok_err
  - authtok_recover_err
  - authtok_lock_busy
  - authtok_disable_aging
  - try_again
  - ignore
  - abort
  - authtok_expired
  - module_unknown
  - bad_item
  - default
- actionn indica il contributo dell’esito di un singolo modulo a quello dell’intera catena. Può essere un numero intero positivo o assumere uno dei seguenti valori:
  - ignore indica che l’esito del modulo non contribuisce all’esito dell’intera catena.
  - bad indica che il fallimento del modulo deve essere considerato determinante per il fallimento dell’intera catena.
  - die è equivalente a bad tranne per il fatto che l’esecuzione della catena dei moduli viene immediatamente interotta e l’esito è ritornato direttamente all’applicazione.
  - ok indica che l’esito del modulo deve influire direttamente all’esito dell’intera catena (se il valore degli esiti dei precedenti moduli era PAM_SUCCESS, l’esito di questo modulo sovrascrive quello precedente, ma se il valore degli esiti dei precedenti moduli indicava il fallimento, l’esito di questo modulo non viene utilizzato per sovrascrivere quello precedente).
  - done è equivalente a ok tranne per il fatto che l’esecuzione della catena dei moduli viene immediatamente interotta e l’esito è ritornato direttamente all’applicazione.
  - reset indica di cancellare l’esito della catena fino a quel punto e riavviare il calcolo dell’esito dal prossimo modulo in cascata.
  Quando è utilizzato un numero positivo m, questo indica che i successivi m moduli dello stesso tipo devono essere saltati (non devono essere invocati).

Ognuna delle parole chiavi della sintassi più vecchia ha un’espressione equivalente nella sintassi più recente, come riportato in tab. 5.1

|-Vecchia----|Nuova--------------------------------------------------|
|-required---|[success=ok-newxauthtokxreqd=ok-ignore=ignore-default=bad]---|
| requisite |[success=ok newxauthtokxreqd=ok ignore=ignore default=die] |
| sufficient |[success=done newxauthtokxreqd=done default=ignore] |
--optional----[success=ok-newxauthtokxreqd=ok-default=ignore]-------------

Tabella 5.1:

Equivalenze tra vecchia e nuova sintassi di control-flag.

module-path è il nome del file (modulo) da invocare. Può essere un path assoluto (inizia per ‘/’) o relativo alla directory /lib/security (default directory della libreria PAM).
args è una lista di argomenti che vengono passati a module-path quando invocato. Gli argomenti dipendono dal modulo specifico e quello non riconosciuti vengono ignorati dal modulo stesso ma l’erore viene comunque registrato nel system log.

In modo molto più flessibile rispetto al singolo file, la configurazione della libreria PAM può essere fatta attraverso l’utilizzo di files contenuti nella directory /etc/pam.d. In genere il file di configurazione riporta lo stesso nome del file (applicazione) che gestisce il servizio. La sintassi delle righe dei files di configurazione contenuti nella directory /etc/pam.d è la seguente

module-type control-flag module-path args
Come si può notare è analoga a quella relativa a /etc/pam.conf con la differenza che service-name non è presente, poiché il file in questione si riferisce già ad uno specifico servizio (applicazione).

La configurazione dei moduli PAM può essere gestita in due modi diversi, a discrezione del sistema (della distribuzione GNU/Linux):

• Se la directory /etc/pam.d esiste, vengono utilizzati i file di configurazione in essa contenuti, altrimenti viene utilizzato il file /etc/pam.conf;
• Si utilizzano in cascata il file relativo al modulo in questione contenuto nella directory /etc/pam.d e /etc/pam.conf in modo tale che le direttive presenti nel file di configurazione specifico (in /etc/pam.d) sovrascrivano quelle presenti nel file /etc/pam.conf.

È da notare che le parole chiavi specifiche delle direttive PAM, sono case insensitive, cioè non fa differenza tra lettere maiuscole e minuscole e le direttive possono essere espresse su più righe inserendo come carattere di continuazione tra una riga e l’altra il simbolo ‘\’ (backslash).

5.8.1.1 Configurazione di default

Se un sistema deve essere sicuro, è opportuno che abbia delle direttive di default (OTHER) ragionabilmente sicure come segue:

                                                                        
                                                                        
#
# default; deny access
#
OTHER   auth     required       pam_deny.so
OTHER   account  required       pam_deny.so
OTHER   password required       pam_deny.so
OTHER   session  required       pam_deny.so

Anche se le direttive sopra riportate sono necessarie per una configurazione ad elevata sicurezza, per sistemi mal configurati potrebbero non permettere l’accesso al sistema a nessun utente. È da tenere presente inoltre che il modulo pam_deny.so non registra nessun evento nel system log, quindi è difficile riuscire a capire dove sta il problema in caso di sistema mal configurato.

Per avere un avvertimento nel caso di applicazione non configurata, è conveniente aggiungere le seguenti linee in testa a quelle sopra indicate.

#
# default; wake up! This application is not configured
#
OTHER   auth     required       pam_warn.so
OTHER   password required       pam_warn.so

Analogamente, per un sistema che utilizza il sistema di configurazione tramite i file contenuti nella directory /etc/pam.d, la corrispondente impostazione di default di quella sopra riportata è la seguente (quello elencato è il contenuto del file di configurazione del servizio specifico)

#
# default configuration: /etc/pam.d/other
#
auth     required       pam_warn.so
auth     required       pam_deny.so
account  required       pam_deny.so
password required       pam_warn.so
password required       pam_deny.so
session  required       pam_deny.so

La configurazione per la gestione “standard” dei sistemi Unix-like è la seguente:

                                                                        
                                                                        
#
# default; standard UN*X access
#
OTHER   auth     required       pam_unix.so
OTHER   account  required       pam_unix.so
OTHER   password required       pam_unix.so
OTHER   session  required       pam_unix.so

Generalmente questo rappresenta il punto di inizio per la maggior parte delle applicazioni. Per applicazioni specifiche potrebbe essere necessaria una configurazione leggermente diversa. Per esempio il servizio FTP²⁰ con l’abilitazione per l’accesso all’utente anonymous richiede un file di configurazione analogo al seguente

#
# ftpd; add ftp-specifics. These lines enable anonymous ftp over
#       standard UN*X access (the listfile entry blocks access to
#       users listed in /etc/ftpusers)
#
ftpd    auth    sufficient  pam_ftp.so
ftpd    auth    required    pam_unix_auth.so use_first_pass
ftpd    auth    required    pam_listfile.so \
    onerr=succeed item=user sense=deny file=/etc/ftpusers

La seconda riga è necessaria poiché le direttive di default sono ignorate da un’applicazione (in questo caso ftpd) se ci sono delle righe in /etc/pam.conf che riguardano la specifica applicazione. È da notare anche l’uso di use_first_pass come argomento da passare al modulo PAM pam_unix_auth.so che indica al modulo di non richiedere la password, ma di prendere in considerazione quella già ottenuta dal modulo pam_ftp.so.

5.8.1.2 Problemi di configurazione

Nel casoin cui i files di configurazione della libreria PAM andassero perduti, il sistema non permetterebbe l’accesso a nessuno. Per risolvere questo problema, è opportuno accedere al sistema in single user mode (run level 1) e correggere il problema. La sequenza dei comandi di seguito riportati può risolvere il problema riportando la configurazione della libreria PAM a quella “standard” dei sistemi Unix-like.

                                                                        
                                                                        
# cd /etc
# mv pam.conf pam.conf.orig
# mv pam.d pam.d.orig
# mkdir pam.d
# cd pam.d

quindi creare un file /etc/pam.d/other contenente le seguenti righe:

auth     required       pam_unix.so
account  required       pam_unix.so
password required       pam_unix.so
session  required       pam_unix.so

[Avanti] [Indietro] [Su] [Indice]