(91) 350-9520 support@omarine.org M-F: 7 AM - 7 PM; Weekends: 9 AM - 5 PM

Hệ điều hành: An toàn hệ thống

Một trong những công tác an toàn hệ thống là ngăn chặn truy cập trái phép. Biện pháp xác minh bằng mật khẩu bóng (shadow) có thể là chưa đủ. Bạn có thể thiết lập một hệ thống bảo mật PAM (Pluggable Authentication Modules- Phương pháp xác minh động có thể kết nối) với các module thư viện PAM thực hiện các thủ tục xác minh cho từng hoạt động cụ thể do người thiết kế hệ thống tự ấn định một cách năng động. Bạn cần xây dựng và cài đặt gói Linux-Pam, rồi soạn thảo các dịch vụ bảo mật PAM cho mỗi ứng dụng/dịch vụ tương ứng của hệ thống. Các dịch vụ PAM được đặt trong /etc/pam.d/ . Các dịch vụ này là các file có tên tương ứng với các ứng dụng quen thuộc như là login, passwd, kde, su, polkit-1 (chính sách)… . Khi đó file cấu hình PAM /etc/pam.conf là không cần thiết. Hệ thống PAM thường phải có ít nhất một dịch vụ có tên là other chứa các qui tắc mặc định. Khi thiếu dịch vụ bảo mật cho một hoạt động, dịch vụ other sẽ được sử dụng. Một dịch vụ bảo mật bao gồm các qui tắc có thể được xếp chồng, mỗi qui tắc trên một dòng, dưới dạng 4 trường:

type control module-path module-arguments

(kiểu điều-khiển module tham-số-module)

Trường thứ nhất là type (kiểu), Có 4 kiểu qui tắc

account (tài khoản người dùng): Kiểm tra điều kiện sử dụng tài khoản, thường để giới hạn hay cho phép truy cập một dịch vụ về thời hạn, số người dùng tối đa theo khả năng tài nguyên.

auth (xác minh): Chứng thực người dùng, yêu cầu vào mật khẩu hay biện pháp nhận dạng khác. Mặt khác, thủ tục có thể công nhận thành viên nhóm hay quyền đặc biệt khác qua hình thức chứng chỉ.

password (mật khẩu): Áp dụng khi cập nhật mật khẩu, kết hợp dựa trên cơ sở các qui tắc kiểu xác minh

session (phiên): Kết hợp với những điều cần thực hiện đối với người sử dụng lúc đầu và cuối dịch vụ, như trường hợp đóng/mở quá trình trao đổi dữ liệu với người sử dụng, gắn kết (mounting) hệ thống file

Trường thứ hai là control

Điều khiển cách thức phản ứng khi module qui tắc thành công hay thất bại

ví dụ giá trị control là:

required– vi phạm qui tắc kéo theo ứng dụng trả về thất bại (nhưng chỉ sau khi các module còn lại trong ngăn xếp cho dịch vụ và kiểu qui tắc này đã được xử lý)

optional– hợp lệ hay vi phạm qui tắc chỉ có ý nghĩa khi module qui tắc này là module duy nhất trong ngăn xếp kết hợp với dịch vụ và kiểu qui tắc này

Đó là 2 ví dụ về control theo cú pháp đơn giản. Ngoài ra, control còn được viết dưới dạng các cặp value=action trong ngoặc vuông:

[value1=action1 value2=action2 …]

control có giá trị required viết theo cú pháp đơn giản ở trên là tương đương với control viết theo cú pháp các cặp value=action như sau:

[success=ok new_authtok_reqd=ok ignore=ignore default=bad]

Trường thứ ba là module-path

Là tên file đầy đủ của module thư viện PAM, hoặc tên file tương đối trong vị trí module mặc định là /lib/security/ hoặc /lib64/security/ tùy theo hệ thống 32 hay 64 bits

Trường cuối cùng là module-arguments

Danh sách các tham số của module viết cách nhau bởi dấu cách

Dưới đây là ví dụ các qui tắc kiểu password:

password [success=1 default=ignore] pam_unix.so obscure sha512

password requisite pam_deny.so

password required pam_permit.so

*Ngày mai tôi bận đi công tác nên không có điều kiện để viết thường xuyên như trước, nhưng sẽ cố gắng viết mỗi khi có thể để phục vụ mọi người

Advertisements

Gửi phản hồi

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: