O que é o PAM e por que o AWS o habilita por padrão?

1

Eu só quero me conectar à minha instância do EC2 usando o SSH, mas meu sshd_config tem UsePAM yes . O que é isso e eu vou ser bloqueado da minha instância se eu configurá-lo para não?

Também defino um cronjob para verificar se o meu ZNC está ativo e meu /var/log/auth.log está cheio destes:

CRON[5216]: pam_unix(cron:session): session closed for user znc-admin

Como você pode ver, há uma coisa pam_unix relacionada à minha primeira pergunta.

    
por modkooc 16.10.2017 / 20:45

1 resposta

3

Pam é o módulo de autenticação plugável.

É um back-end para autenticação, que lida com autenticação de aplicativos em um sistema. Como o nome diz, é pluggable. Você pode ter vários plugs fornecendo autenticação de diferentes fontes. Uma fonte comum é / etc / passwd e / etc / shadow em combinação. Outros podem ser leitores LDAP, Kerberos, NIS ou de impressão digital.

Em suma, ele fornece uma interface consistente para que aplicativos, como login e ssh, sejam autenticados.

Consiste em quatro partes:

  1. Contas - acompanhando nomes de usuário.
  2. Autenticação - verificação de senhas (ou impressões digitais .. ou ...)
  3. Gerenciamento de sessão - ações a serem executadas no início e no término de uma sessão, como contabilidade.
  4. Atualização do Passord - atualizando senhas e também aplicando padrões de senha.

Se dermos uma olhada em man sshd_config , podemos ler o seguinte:

UsePAM
Enables the Pluggable Authentication Module interface. If set to “yes” this will enable PAM authentication using ChallengeResponseAuthentication and PasswordAuthentication in addition to PAM account and session module processing for all authentication types.

Because PAM challenge-response authentication usually serves an equivalent role to password authentication, you should disable either PasswordAuthentication or ChallengeResponseAuthentication.

If UsePAM is enabled, you will not be able to run sshd(8) as a non-root user. The default is “no”.

Você pode defini-lo como não, se não quiser usar o PAM. Em uma instância única, não existe uma razão grande para usar o PAM - você normalmente só tem uma fonte de autenticação (/ etc / passwd / / etc / shadow). Por outro lado, não há grandes razões para mudar neste ambiente.

O que você vê no seu log é parte dos módulos de sessão: ele registra os usuários autenticados - nesse caso, porque um script foi executado como esse usuário. Isso é normal, e não é algo para se preocupar ou se preocupar.

Editar: como o usuário estava brutalmente ciente - não não defina-o como não, a menos que você tenha autenticação de chave pública em funcionamento ou habilite outros esquemas de autenticação de senha. Com o ssh, também é possível alterar a configuração, reiniciar o ssh e tentar efetuar login antes de efetuar logout do shell atual. Desta forma, você pode reverter se estiver com locket.

    
por vidarlo 16.10.2017 / 20:56