PAM (tareas)

En esta sección, se tratan algunas tareas que pueden ser necesarias para que la estructura PAM use una determinada política de seguridad. Debe tener en cuenta algunos problemas de seguridad asociados a los archivos de configuración PAM. Para obtener información sobre los problemas de seguridad, consulte Planificación de la implementación de PAM.

PAM (mapa de tareas)

Tarea	Descripción	Para obtener instrucciones
Planificar la instalación de PAM	Tenga en cuenta los problemas de configuración y tome decisiones acerca de ellos antes de iniciar el proceso de configuración de software.	Planificación de la implementación de PAM
Agregar nuevos módulos PAM	A veces, se deben escribir e instalar módulos específicos del sitio para satisfacer requisitos que no forman parte del software genérico. Este procedimiento explica cómo instalar estos nuevos módulos PAM.	Cómo agregar un módulo PAM
Asignar una nueva política PAM a un usuario.	Se establecen requisitos de autenticación específicos para varios servicios que se van a asignar a un determinado usuario.	Cómo asignar una política PAM personalizada a un usuario
Asignar un nuevo perfil de derechos a todos los usuarios.	Se establecen requisitos de autenticación específicos para varios servicios que se van a asignar a todos los usuarios en el sistema.	Cómo asignar una nueva política de derechos a todos los usuarios
Bloquear el acceso a través de `~/.rhosts`	Se impide el acceso a través de `~/.rhosts` para mejorar aún más la seguridad.	Cómo evitar el acceso de tipo .rhost desde sistemas remotos con PAM
Iniciar el registro de errores	Inicie el registro de mensajes de error relacionados con PAM mediante `syslog`.	Cómo registrar los informes de errores de PAM

Planificación de la implementación de PAM

Tal como se suministra, el archivo de configuración PAM implementa la política de seguridad estándar. Esta política funciona en diversas situaciones. Si debe implementar una política de seguridad distinta, aquí se muestran los problemas en los que se debe centrar:

Determine cuáles son sus necesidades, especialmente qué módulos de servicios PAM debe seleccionar.
Identifique los servicios que necesitan opciones de configuración especiales. Use el nombre de servicio other para proporcionar valores predeterminados para los servicios, si es apropiado.
Decida el orden en que se deben ejecutar los módulos.
Seleccione el indicador de control para cada módulo. Consulte Cómo funciona el apilamiento PAM para obtener más información sobre todos los indicadores de control.
Seleccione las opciones que son necesarias para cada módulo. La página del comando man de cada módulo debe enumerar las opciones especiales.

A continuación, exponemos algunas sugerencias que se deben tener en cuenta antes de cambiar la configuración PAM:

Use entradas de nombre de servicio other para cada tipo de módulo para que cada aplicación no tenga que ser incluida en la configuración PAM.
Asegúrese de tener en cuenta las implicaciones de seguridad de los indicadores de control.

Revise las páginas del comando man que están asociadas a los módulos. Estas páginas del comando man puede ayudar a comprender cómo funciona cada módulo, qué opciones están disponibles y las interacciones entre los módulos apilados.

Precaución - Si la configuración PAM no está configurada correctamente o se daña, es posible que ningún usuario pueda iniciar sesión. Como el comando sulogin no utiliza PAM, se necesita la contraseña de usuario root para iniciar el equipo en modo de usuario único y corregir el problema.

Después de cambiar la configuración PAM, revise el archivo lo más posible mientras sigue teniendo acceso al sistema para corregir problemas. Pruebe todos los comandos que posiblemente hayan sido afectados por los cambios.

Cómo agregar un módulo PAM

Este procedimiento muestra cómo agregar un nuevo módulo PAM. Es posible crear nuevos módulos para satisfacer políticas de seguridad específicas del sitio o para admitir aplicaciones de terceros.

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Determine qué indicadores de control y qué opciones se deben utilizar.
Consulte Cómo funciona el apilamiento PAM para obtener información sobre los indicadores de control.
Asegúrese de que la propiedad y los permisos estén definidos de modo que el archivo del módulo sea propiedad de root y los permisos sean 555.
Use pfedit para editar un archivo de configuración PAM apropiado y agregue este módulo a los servicios apropiados.
Se pueden realizar cambios a /etc/pam.conf o /etc/pam.d/service.
Verifique que el módulo se haya agregado correctamente.
Es necesario realizar una comprobación en caso de que el archivo de configuración no esté configurado correctamente. Inicie sesión con un servicio directo, como ssh, y ejecute el comando su.

Cómo evitar el acceso de tipo .rhost desde sistemas remotos con PAM

Nota - El servicio rsh no está activado de manera predeterminada. Para proporcionar una conexión segura, use el comando ssh en su lugar.

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Elimine todas las líneas que incluyen rhosts_auth.so.1 de los archivos de configuración PAM.
Este paso impide la lectura de los archivos ~/.rhosts durante una sesión rlogin. Por lo tanto, este paso impide el acceso no autenticado al sistema local desde sistemas remotos. Cualquier acceso rlogin requiere una contraseña, independientemente de la presencia o el contenido de los archivos ~/.rhosts o /etc/hosts.equiv.
Desactive el servicio rsh.
Para evitar el acceso no autenticado al sistema, recuerde desactivar el servicio rsh.
```
# svcadm disable network/shell:default
```
Desactive el servicio rlogin.
Desactive también el servicio rlogin, si es necesario.
```
# svcadm disable network/login:rlogin
```

Cómo registrar los informes de errores de PAM

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Determine qué instancia del servicio system-log está en línea.

# svcs system-log
STATE          STIME    FMRI
disabled       13:11:55 svc:/system/system-log:rsyslog
online         13:13:27 svc:/system/system-log:default

Nota - Si la instancia de servicio rsyslog está en línea, modifique el archivo rsyslog.conf.

Configure el archivo /etc/syslog.conf para el nivel de registro que necesite.
Consulte la página del comando man syslog.conf(4) para obtener más información sobre niveles de registro. La mayoría de los informes de errores PAM se realiza para la utilidad LOG_AUTH.
Refresque la información de configuración para el servicio system-log.
```
# svcadm refresh system-log:default
```
Nota - Refresque la instancia de servicio system-log:rsyslog si el servicio rsyslog está en línea.

Cómo asignar una política PAM personalizada a un usuario

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Cree un nuevo archivo de configuración de política PAM.

Consulte los comentarios en el texto siguiente para obtener una descripción de los efectos que produce el archivo.

# cat /etc/opt/pam_policy/custom-config
#
# PAM configuration which uses UNIX authentication for console logins,
# LDAP for SSH keyboard-interactive logins, and denies telnet logins.
#
login auth requisite          pam_authtok_get.so.1
login auth required           pam_dhkeys.so.1
login auth required           pam_unix_auth.so.1
login auth required           pam_unix_cred.so.1
login auth required           pam_dial_auth.so.1
#
sshd-kbdint  auth requisite          pam_authtok_get.so.1
sshd-kbdint  auth binding            pam_unix_auth.so.1 server_policy
sshd-kbdint  auth required           pam_unix_cred.so.1
sshd-kbdint  auth required           pam_ldap.so.1
#
telnet    auth     requisite    pam_deny.so.1
telnet    account  requisite    pam_deny.so.1
telnet    session  requisite    pam_deny.so.1
telnet    password requisite    pam_deny.so.1

Compruebe los permisos de archivo en el nuevo archivo.
El archivo debe ser propiedad de root y no puede ser escrito por grupos ni por cualquier persona.
```
# ls -l /etc/opt/pam_policy
total 5
-r--r--r--   1 root         4570 Jun 21 12:08 custom-config
```
Asigne la nueva política PAM a un usuario.
El archivo custom-config en /etc/opt/pam_policy está asignado al usuario denominado jill.
```
# useradd -K pam_policy=/etc/opt/pam_policy/custom-config jill
```

Cómo asignar una nueva política de derechos a todos los usuarios

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados.

Cree una nueva política de derechos.

En este ejemplo, se utiliza la política PAM ldap.

# profiles -p "PAM Per-User Policy of LDAP" \
      'set desc="Profile which sets pam_policy=ldap";
       set pam_policy=ldap; exit;'

Asigne un nuevo perfil de derechos a todos los usuarios.

Use pfedit para agregar la nueva política a la declaración PROFS_GRANTED.

# cat /etc/security/policy.conf
  .
  .

AUTHS_GRANTED=
PROFS_GRANTED=Basic Solaris User,PAM Per-User Policy of LDAP
CONSOLE_USER=Console User

Ejemplo 14-1 Asignación de un perfil de derechos a un usuario

Si se ha creado un perfil como se mostró en el paso 1 del procedimiento anterior, ese perfil de derechos puede asignarse a un usuario mediante el siguiente comando:

# usermod -P +"PAM Per-User Policy of LDAP" jill

Omitir Vínculos de navegación
Salir de la Vista de impresión
	Administración de Oracle Solaris 11.1: servicios de seguridad Oracle Solaris 11.1 Information Library (Español)