Kapitel 4. Autentisering och åtkomstkontroll

Här är några viktiga konfigurationsfiler som PAM och NSS har åtkomst till.

Begränsningen av lösenordsvalet implementeras av PAM-modulerna, pam_unix(8) och pam_cracklib(8). De kan konfigureras med hjälp av sina argument.

	Tips
	PAM-moduler använder suffixet ".so" för sina filnamn.

Den moderna centraliserade systemhanteringen kan distribueras med hjälp av den centraliserade LDAP-servern (Lightweight Directory Access Protocol) för att administrera många Unix-liknande och icke-Unix-liknande system i nätverket. Open source-implementeringen av Lightweight Directory Access Protocol är OpenLDAP Software.

LDAP-servern tillhandahåller kontoinformationen genom användning av PAM och NSS med paketen libpam-ldapd och libnss-ldapd för Debian-systemet. Flera åtgärder krävs för att aktivera detta (jag har inte använt den här installationen och följande är enbart sekundär information. Vänligen läs detta i detta sammanhang).

Se dokumentationen i nsswitch.conf(5), pam.conf(5), ldap.conf(5) och ”/usr/share/doc/libpam-doc/html/” som tillhandahålls av paketet libpam-doc och ”info libc ’Name Service Switch’” som tillhandahålls av paketet glibc-doc.

På samma sätt kan du sätta upp alternativa centraliserade system med andra metoder.

Detta är den berömda frasen längst ner på den gamla "info su"-sidan av Richard M. Stallman. Oroa dig inte: det nuvarande su-kommandot i Debian använder PAM, så att man kan begränsa möjligheten att använda su till rotgruppen genom att aktivera raden med "pam_wheel.so" i "/etc/pam.d/su".

# here are the per-package modules (the "Primary" block)
password	requisite			pam_cracklib.so retry=3 minlen=8 difok=3
password	[success=1 default=ignore]	pam_unix.so obscure use_authtok try_first_pass yescrypt
# here's the fallback if no module succeeds
password	requisite			pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password	required			pam_permit.so
# and here are more per-package modules (the "Additional" block)
password	optional	pam_gnome_keyring.so
# end of pam-auth-update config

Många populära transportlagertjänster kommunicerar meddelanden som innehåller lösenordsautentisering i klartext. Det är en mycket dålig idé att överföra lösenord i klartext över det vilda Internet där det kan fångas upp. Du kan köra dessa tjänster över"Transport Layer Security" (TLS) eller dess föregångare "Secure Sockets Layer" (SSL) för att säkra hela kommunikationen inklusive lösenordet genom kryptering.

Krypteringen kostar CPU-tid. Som ett CPU-vänligt alternativ kan du behålla kommunikationen i klartext och bara säkra lösenordet med ett säkert autentiseringsprotokoll, t.ex. "Authenticated Post Office Protocol" (APOP) för POP och "Challenge-Response Authentication Mechanism MD5" (CRAM-MD5) för SMTP och IMAP. (För att skicka e-postmeddelanden över Internet till din e-postserver från din e-postklient har det nyligen blivit populärt att använda den nya porten 587 för meddelandeinlämning i stället för den traditionella SMTP-porten 25 för att undvika att port 25 blockeras av nätverksleverantören samtidigt som du autentiserar dig med CRAM-MD5)

Programmet Secure Shell (SSH) tillhandahåller säker krypterad kommunikation mellan två icke betrodda värdar över ett osäkert nätverk med säker autentisering. Det består av OpenSSH-klienten, ssh(1), och OpenSSH-daemon, sshd(8). Denna SSH kan användas för att tunnla en osäker protokollkommunikation som POP och X säkert över Internet med funktionen port forwarding.

Klienten försöker autentisera sig med hjälp av värdbaserad autentisering, autentisering med offentlig nyckel, autentisering med utmaningssvar eller lösenordsautentisering. Användningen av autentisering med publik nyckel möjliggör fjärrinloggning utan lösenord. Se Avsnitt 6.3, ”Server och verktyg för fjärråtkomst (SSH)”.

Även om du kör säkra tjänster som Secure Shell (SSH) och PPTP-servrar (Point-to-Point Tunneling Protocol) finns det fortfarande risk för intrång via brute force-attacker med lösenordsgissning etc. från Internet. Användning av brandväggspolicyn (se Avsnitt 5.7, ”Netfilters infrastruktur”) tillsammans med följande säkerhetsverktyg kan förbättra säkerhetssituationen.

Om du vill förhindra att personer får åtkomst till din maskin med root-behörighet måste du vidta följande åtgärder.

• Förhindra fysisk åtkomst till hårddisken

• Lås UEFI/BIOS och förhindra uppstart från flyttbara media

• Ange lösenord för GRUB:s interaktiva session

• Lås GRUB-menyn från redigering

Med fysisk tillgång till hårddisken är det relativt enkelt att återställa lösenordet med följande steg.

1. Flytta hårddisken till en PC med CD-bootbar UEFI/BIOS.

2. Starta upp systemet med ett räddningsmedium (Debian-startdiskett, Knoppix-CD, GRUB-CD, ...).

3. Montera rotpartitionen med läs- och skrivåtkomst.

4. Redigera "/etc/passwd" i rotpartitionen och gör den andra posten för rotkontot tom.

Om du har redigeringsåtkomst till GRUB-menyalternativet (se Avsnitt 3.1.2, ”Steg 2: startladdaren”) för grub-rescue-pc vid start, är det ännu enklare med följande steg.

Systemets root-skal är nu åtkomligt utan lösenord.

Den enda rimliga mjukvarulösningen för att undvika alla dessa problem är att använda en mjukvarukrypterad rotpartition (eller "/etc"-partition) med hjälp av dm-crypt och initramfs (se Avsnitt 9.9, ”Tips om datakryptering”). Du behöver dock alltid ett lösenord för att starta systemet.

ACL:er är en överuppsättning av de vanliga behörigheterna som förklaras i Avsnitt 1.2.3, ”Behörigheter i filsystemet”.

Du stöter på ACL:er i aktion i moderna skrivbordsmiljöer. När en formaterad USB-lagringsenhet är automatiskt monterad som t.ex. "/media/penguin/USBSTICK" kan en normal användare, pingvinen, köra:

 $ cd /media/penguin
 $ ls -la
total 16
drwxr-x---+ 1 root    root    16 Jan 17 22:55 .
drwxr-xr-x  1 root    root    28 Sep 17 19:03 ..
drwxr-xr-x  1 penguin penguin 18 Jan  6 07:05 USBSTICK

"+" i den 11:e kolumnen indikerar att ACL:er används. Utan ACL:er skulle en vanlig användare, pingvin, inte kunna lista sig på det här sättet eftersom pingvin inte är med i rotgruppen. Du kan se ACL:er som:

 $ getfacl .
# file: .
# owner: root
# group: root
user::rwx
user:penguin:r-x
group::---
mask::r-x
other::---

Här:

Se"POSIX Access Control Lists on Linux", acl(5), getfacl(1) och setfacl(1) för mer information.

sudo(8) är ett program som är utformat så att en sysadmin kan ge begränsade root-privilegier till användare och logga root-aktiviteter. sudo kräver endast ett vanligt användarlösenord. Installera sudo-paketet och aktivera det genom att ställa in alternativ i "/etc/sudoers". Se konfigurationsexempel i "/usr/share/doc/sudo/examples/sudoers" och Avsnitt 1.1.12, ”sudo konfiguration”.

Min användning av sudo för single user-systemet (se Avsnitt 1.1.12, ”sudo konfiguration”) syftar till att skydda mig mot min egen dumhet. Personligen anser jag att sudo är ett bättre alternativ än att använda systemet från root-kontot hela tiden. Följande ändrar till exempel ägaren till "någon_fil" till "mitt_namn".

$ sudo chown my_name some_file

Om du känner till root-lösenordet (vilket självinstallerade Debian-användare gör) kan du naturligtvis köra alla kommandon under root från vilket användarkonto som helst med "su -c".

PolicyKit är en operativsystemskomponent för kontroll av systemövergripande behörigheter i Unix-liknande operativsystem.

Nyare GUI-program är inte utformade för att köras som privilegierade processer. De kommunicerar med privilegierade processer via PolicyKit för att utföra administrativa åtgärder.

PolicyKit begränsar sådana åtgärder till användarkonton som tillhör sudo-gruppen på Debian-systemet.

Se polkit(8).

För systemets säkerhet är det en god idé att inaktivera så många serverprogram som möjligt. Detta är särskilt viktigt för nätverksservrar. Att ha oanvända servrar, aktiverade antingen direkt som daemon eller via super-serverprogram, anses vara en säkerhetsrisk.

Många program, t.ex. sshd(8), använder PAM-baserad åtkomstkontroll. Det finns många sätt att begränsa åtkomsten till vissa servertjänster.

Se Avsnitt 3.5, ”Systemhantering”, Avsnitt 4.5.1, ”Konfigurationsfiler som nås av PAM och NSS”, och Avsnitt 5.7, ”Netfilters infrastruktur”.

Linuxkärnan har utvecklats och stöder säkerhetsfunktioner som inte finns i traditionella UNIX-implementationer.

Linux stöder utökade attribut som utökar de traditionella UNIX-attributen (se xattr(7)).

Linux delar upp de privilegier som traditionellt förknippas med superuser i olika enheter, så kallade capabilities(7), som kan aktiveras och inaktiveras oberoende av varandra. Capabilities är ett attribut per tråd sedan kärnversion 2.2.

Ramverket Linux Security Module (LSM) tillhandahåller en mekanism för olika säkerhetskontroller som kan kopplas till nya kärntillägg. Till exempel:

Eftersom dessa tillägg kan strama åt privilegiemodellen hårdare än den vanliga Unix-liknande säkerhetsmodellen, kan till och med root-behörigheten begränsas. Vi rekommenderar att du läser ramverksdokumentet för Linux Security Module (LSM) på kernel.org.

Linux namnrymder omsluter en global systemresurs med en abstraktion som gör att processerna inom namnrymden ser ut som om de har en egen isolerad instans av den globala resursen. Ändringar i den globala resursen är synliga för andra processer som är medlemmar i namnrymden, men osynliga för andra processer. Sedan kärnversion 5.6 finns det 8 typer av namnrymder (se namnrymder(7), unshare(1), nsenter(1)).

Från och med Debian 11 Bullseye (2021) använder Debian en enhetlig cgroup-hierarki (a.k.a. cgroups-v2).

Exempel på användning av namnrymder med cgrupper för att isolera sina processer och tillåta resurskontroll är:

Dessa funktioner kan inte realiseras av Avsnitt 4.1, ”Normal Unix-autentisering”. Dessa avancerade ämnen är oftast utanför ramen för detta introduktionsdokument.