En la configuración predeterminada, los servicios de entrada ssh y telnet están abarcados por el nombre de servicio other. El archivo de configuración del PAM en este procedimiento cambia los requisitos para ssh y telnet.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Utilice el comando pfedit para crear el archivo. Coloque el archivo en un directorio de configuración de sitio como /opt. También puede colocarlo en el directorio /etc/security/pam_policy.
Incluya comentarios explicativos en el archivo.
# pfedit /opt/local_pam/ssh-telnet-conf # # PAM configuration which uses UNIX authentication for console logins, # (see pam.d/login), and LDAP for SSH keyboard-interactive logins # This stack explicitly denies telnet logins. # sshd-kbdint auth requisite pam_authtok_get.so.1 sshd-kbdint auth binding pam_unix_auth.so.1 server_policy sshd-kbdint auth required pam_unix_cred.so.1 sshd-kbdint auth required pam_ldap.so.1 # telnet auth requisite pam_deny.so.1 telnet account requisite pam_deny.so.1 telnet session requisite pam_deny.so.1 telnet password requisite pam_deny.so.1
Proteja el archivo con la propiedad de root y permisos de 444.
# ls -l /opt/local_pam total 5 -r--r--r-- 1 root 4570 Jun 21 12:08 ssh-telnet-conf
De manera predeterminada, el módulo zfs_pam_key no está en el archivo /etc/security/pam_policy/unix. En este ejemplo, el administrador crea una versión de la política del PAM unix por usuario y, luego, utiliza la nueva versión para crear los usuarios cuyos directorios de inicio se cifran.
# cp /etc/security/pam_policy/unix /opt/local_pam/unix-encrypt # pfedit /opt/local_pam/unix-encrypt.conf ... other auth required pam_unix_auth.so.1 other auth required pam_unix_cred.so.1 ## pam_zfs_key auto-creates an encrypted home directory ## other auth required pam_zfs_key.so.1 create
El administrador utiliza este archivo de política al agregar usuarios. Tenga en cuenta que no se puede agregar cifrado a un sistema de archivos. El sistema de archivos se debe crear con el cifrado activado. Para obtener más información, consulte zfs_encrypt(1M).
El administrador crea un usuario y asigna una contraseña.
# useradd -K pam_policy=/opt/local_pam/unix-encrypt.conf jill # passwd jill New Password: xxxxxxxx Re-enter new Password: xxxxxxxx passwd: password successfully changed for jill
Luego, el administrador crea el directorio de inicio cifrado mediante el inicio de sesión como usuario.
# su - jill Password: xxxxxxxx Creating home directory with encryption=on. Your login password will be used as the wrapping key. Oracle Corporation SunOS 5.11 11.2 July 2014 # logout
Para conocer las opciones del módulo de servicio ZFS, consulte la página del comando man pam_zfs_key(5).
Por último, el administrador verifica que el nuevo directorio principal sea un sistema de archivos cifrados.
# mount -p | grep ~jill rpool/export/home/jill - /export/home/jill zfs - no rw,devices,setuid,nonbmand,exec,rstchown,xattr,atime # zfs get encryption,keysource rpool/export/home/jill NAME PROPERTY VALUE SOURCE rpool/export/home/jill encryption on local rpool/export/home/jill keysource passphrase,prompt local