목차

Beyond Linux® From Scratch (systemd Edition) - Version 12.1
Chapter 4. Security
이전 위로 / 처음으로 다음
libcap-2.69 with PAM liboauth-1.0.3

Linux-PAM-1.6.0

Linux PAM 소개

Linux PAM 패키지에는 로컬 시스템 관리자가 애플리케이션 프로그램이 사용자를 인증하는 방법을 제어하는 데 사용하는 플러그형 인증 모듈(PAM: Pluggable Authentication Modules)이 포함되어 있습니다.

이 패키지는 LFS 12.1 플랫폼을 사용하여 빌드하고 제대로 작동하는 것으로 알려져 있습니다.

패키지 정보

추가 다운로드

선택적 문서

Linux PAM 종속성

선택

참고
Linux PAM을 설치 및 구성한 후 Shadow-4.14.5Systemd-255를 다시 설치하고 재구성해야 합니다.

Linux-PAM-1.4.0 이상에서는 pam_cracklib 모듈이 기본적으로 설치되지 않습니다. 강력한 비밀번호를 적용하려면 libpwquality-1.4.5를 사용하세요.

Linux PAM 설치

추가 문서를 다운로드했다면 다음 명령을 실행하여 압축을 풉니다. 

tar -xf ../Linux-PAM-1.6.0-docs.tar.xz --strip-components=1

다음과 같이 컴파일하고 링크합니다. 

./configure --prefix=/usr                        \
            --sbindir=/usr/sbin                  \
            --sysconfdir=/etc                    \
            --libdir=/usr/lib                    \
            --enable-securedir=/usr/lib/security \
            --docdir=/usr/share/doc/Linux-PAM-1.6.0 &&
make

결과를 테스트하려면 적절한 /etc/pam.d/other 구성 파일이 있어야 합니다.

Linux PAM 재설치 또는 업그레이드
Linux PAM이 설치되어 작동 중인 시스템에서 /etc/pam.d의 파일을 부주의하게 수정할 경우 시스템을 완전히 사용할 수 없게 될 수 있으므로 주의하세요. 테스트를 실행하려는 경우 새로 /etc/pam.d/other 파일을 만들 필요는 없습니다. 기존 파일을 테스트에 사용할 수 있습니다.

또한 make install/etc/security/etc/environment의 구성 파일을 덮어쓴다는 점에 유의해야 합니다. 해당 파일을 수정한 경우 반드시 백업하세요.

처음 설치하는 경우 root 사용자로 다음과 같이 구성 파일을 만듭니다. 

install -v -m755 -d /etc/pam.d &&

cat > /etc/pam.d/other << "EOF"
auth     required       pam_deny.so
account  required       pam_deny.so
password required       pam_deny.so
session  required       pam_deny.so
EOF

이제 make check를 실행하여 테스트를 실행합니다. 설치를 계속하기 전에 테스트에서 오류가 발생하지 않았는지 확인하세요. 테스트가 매우 길다는 점에 유의하세요. 출력을 로그 파일로 리디렉션하여 꼼꼼히 검사할 수 있도록 하세요.

처음 설치하는 경우 root 사용자로 다음과 같이 앞서 만든 구성 파일을 제거합니다. 

rm -fv /etc/pam.d/other

이제 root 사용자로 

make install &&
chmod -v 4755 /usr/sbin/unix_chkpwd

명령 설명

Linux-PAM 설정

설정 파일

/etc/security/*, /etc/pam.d/*

설정 정보

설정 정보는 /etc/pam.d/에 위치합니다. 다음은 예제 파일 입니다. 

# Begin /etc/pam.d/other

auth            required        pam_unix.so     nullok
account         required        pam_unix.so
session         required        pam_unix.so
password        required        pam_unix.so     nullok

# End /etc/pam.d/other

다음과 같이 root 사용자로 몇 가지 일반적인 설정 파일을 생성합니다. 

install -vdm755 /etc/pam.d &&
cat > /etc/pam.d/system-account << "EOF" &&
# Begin /etc/pam.d/system-account

account   required    pam_unix.so

# End /etc/pam.d/system-account
EOF

cat > /etc/pam.d/system-auth << "EOF" &&
# Begin /etc/pam.d/system-auth

auth      required    pam_unix.so

# End /etc/pam.d/system-auth
EOF

cat > /etc/pam.d/system-session << "EOF" &&
# Begin /etc/pam.d/system-session

session   required    pam_unix.so

# End /etc/pam.d/system-session
EOF

cat > /etc/pam.d/system-password << "EOF"
# Begin /etc/pam.d/system-password

# use yescrypt hash for encryption, use shadow, and try to use any
# previously defined authentication token (chosen password) set by any
# prior module.
password  required    pam_unix.so       yescrypt shadow try_first_pass

# End /etc/pam.d/system-password
EOF

강력한 비밀번호 지원 정책을 사용하려면 libpwquality-1.4.5를 설치하고 해당 페이지의 안내에 따라 강력한 비밀번호를 지원하는 pam_pwquality PAM 모듈을 구성하세요.

그런 다음 제한적인 /etc/pam.d/other 구성 파일을 추가합니다. 이 파일을 사용하면 해당 애플리케이션에 대한 구성 파일이 존재하지 않으면 PAM을 인식하는 프로그램이 실행되지 않습니다. 

cat > /etc/pam.d/other << "EOF"
# Begin /etc/pam.d/other

auth        required        pam_warn.so
auth        required        pam_deny.so
account     required        pam_warn.so
account     required        pam_deny.so
password    required        pam_warn.so
password    required        pam_deny.so
session     required        pam_warn.so
session     required        pam_deny.so

# End /etc/pam.d/other
EOF

여러가지 필드와 허용되는 항목에 대해 알아볼 수 있는 좋은 출발점은 PAM 매뉴얼 페이지(man pam)에서 확인할 수 있습니다. 자세한 내용은 Linux-PAM 시스템 관리자 가이드를 참조하세요.

중요
이제 Shadow-4.14.5Systemd-255 패키지를 다시 설치해야 합니다.

패키지 구성

간략한 설명