Triple Eye Industrieel Ingenieur Informatica Algemeen Intranet Vierde jaar Beveiliging Labo's PAM
Beveiliging
Vierde jaar
Intranet
Deze server
Hogeschool Gent

Pluggable Authentication Modules PAM

Pluggable Authentication Modules laten toe om de toegang tot allerlei toepassingen op een unix-machine beter in de hand te houden en te controleren.

De bedoeling van dit labo is om de werking van PAM te doorgronden en de configuratie aan te passen zodat aan welbepaalde authenticatievereisten wordt voldaan. Uiteraard doe je die als root-gebruiker.

Voorbereiding

Deze tekst geeft een beknopt overzicht van de mogelijkheden van PAM (Linux System Security, Hfst 5 PAM, pag 81-86).

Meer informatie

Dit kan je vinden op volgende plaatsen:
  • voor de man-pages van de modules: hier
  • voor pam.conf: lokale man-page of online
Beantwoord volgende vraagjes:
  • Waar bevinden zich de PAM-modules?
  • Waar bevinden zich de configuratie-bestanden?
  • Welke PAM-module wordt gebruikt voor het controleren van de login-gegevens aan de hand van de /etc/passwd-file?
  • Welke PAM-module kan je gebruiken om de sterkte van wachtwoorden te checken?
  • Bekijk de inhoud van deze file en beschrijf het authenticatieproces.

Verslag

Maak een duidelijk verslag van je activiteiten. Dit elektronisch verslag is een tekstbestand met als naam pam.txt, in gewoon tekstformaat (niet opgemaakt, regels korter dan 60 tekens).
Vermeld op de eerste lijn je voornaam en je naam.
Vermeld steeds duidelijk
  • het nummer van het opgavedeel
  • wat je precies doet
  • met welke commando's je dat verwezenlijkt
  • problemen die je tegenkomt
  • hoe je ze oplost
  • op welke manier je de instellingen hebt gecontroleerd.
  • Beantwoord ook de vragen uit de opgave.

Je plaatst dit bestand op je U-drive binnen de map beveiliging in de subdirectory pam.

Uiterste datum om in te dienen: 22/10/2009 om 13u20.

Opgave

Om dit labo te kunnen uitvoeren moeten de globale configuratieinstellingen in /etc/pam.d worden aangepast. Neem hiervan bij het begin van het labo een backup (tar). Zet deze op het einde van het labo terug in de oorspronkelijke staat.

Eens je een veiligheidskopie van de pam-directory hebt gemaakt, kopieer je deze file naar /etc/pam.d.

Opgelet: het aanpassen van de configuratie doe je als root-gebruiker en TREEDT ONMIDDELLIJK IN WERKING. Blijf dus op elk moment op minstens 1 console als root-gebruiker ingelogd voor het geval er iets verkeerd zou gaan!!

Maak 2 lokale gebruikers aan met volgende eigenschappen:
- gebruiker1: uid>500 en gid>500
- gebruiker2: uid<500 en gid<500
Beide gebuikers hebben een wachtwoord.

Pamtester

Pamtester is een tool die werd ontwikkeld voor het testen van de PAM-configuratie. Meer informatie over Pamtester en over het gebruik ervan kun je hier vinden.
De installatie gebeurt als volgt: 

	tar -xvzf pamtester-0.1.2.tar.tgz
	cd pamtester-0.1.2
	./configure
	make
	make install
Na deze stappen kun je de tester gewoon gebruiken.

1. Configureer PAM zodat de meeste modules debug-informatie wegschrijven.
Vraag: In welk(e) bestand(en) komt deze informatie terecht?

2. Pas de configuratie aan zodat een gebruiker 5 kansen krijgt om een aanvaardbaar nieuw wachtwoord in te geven bij het wijzigen van zijn wachtwoord.

3. Pas het systeem aan zodat gebruikers met uid>500 niet kunnen inloggen en die met een uid<500 wel. Test uit met de nieuw aangemaakte gebruikers.

4. Bij systeemonderhoud is het wenselijk dat niet-root-gebruikers zich voor een bepaalde tijd niet kunnen aanmelden. Zorg hiervoor en maak dat gebruikers die dit toch proberen een passende boodschap te zien krijgen.

5. Configureer PAM zodat gebruiker1 enkel kan inloggen vanop één van de buurcomputers.

6. Configureer PAM zodanig dat root uitsluitend nog kan inloggen vanop tty1.

7. Zorg ervoor dat lokaal inloggen en inloggen via ssh enkel mogelijk is op donderdagen van 10 tot 12. Uiteraard pas je deze tijden aan om de kunnen testen.

8. Zorg ervoor dat lokaal inloggen en inloggen via ssh enkel mogelijk is op maandagen en vrijdagen voor gebruiker1 en gebruiker2. Uiteraard pas je deze tijden aan om de kunnen testen.

9. Pas het systeem aan zodat maximum 2 gebruikers uit de groep "wheel" simultaan ingelogd kunnen zijn. Zodra een derde gebruiker behorend tot deze groep zich probeert aan te melden, wordt dit geweigerd.

10. Wat gebeurt er indien iemand zich aanmeldt via een service die niet voorkomt in de directory /etc/pam.d?

G. Van hoogenbemt 21/10/2009
Welkom | Hogeschool Gent | INWE | Studentenserver | Docentenserver | Intranet