16.3. Configurazione dei moduli PAM

Alcuni moduli PAM possono essere configurati. I corrispondenti file di configurazione si trovano in /etc/security. La presente sezione descrive brevemente i file di configurazione pertinenti all'esempio di sshd - pam_unix2.conf, pam_env.conf, pam_pwcheck.conf e limits.conf.

16.3.1. pam_unix2.conf

Il metodo tradizionale di autenticazione in base alla parola d'ordine è controllato dal modulo PAM pam_unix2. Il modulo è in grado di leggere i dati necessari dai file /etc/passwd, /etc/shadow, dalle mappe NIS, dalle tabelle NIS+ e dai database LDAP. Il controllo di questo modulo varia in base alla configurazione delle opzioni PAM della singola applicazione o delle opzioni globali impostate nel file /etc/security/pam_unix2.conf. Un file di configurazione di base per il modulo è mostrato nell'Esempio 16.6, "pam_unix2.conf".

Esempio 16.6. pam_unix2.conf

auth:   nullok
account:
password:       nullok
session:        none

L'opzione nullok per i moduli di tipo auth e password specifica che le parole d'ordine sono autorizzate per il tipo di conto. Gli utenti sono anche autorizzati a modificare la parola d'ordine del proprio conto. L'opzione none per il modulo di tipo session specifica la relativa registrazione di messaggi è disabilitata (valore di default). Per saperne di più sulle opzioni di configurazione, esaminare i commenti nel file stesso e consultare la sezione dedicata a pam_unix2.

16.3.2. pam_env.conf

Questo file è utile per definire un ambiente utente standardizzato che viene proposto ogniqualvolta che il modulo pam_env viene invocato. Per impostare le variabili d'ambiente, rispettare la seguente sintassi:

VARIABILE  [DEFAULT=[valore]]  [OVERRIDE=[valore]]
VARIABILE

Nome della variabile d'ambiente da impostare.

[DEFAULT=[valore]]

Valore di default impostato dall'amministratore.

[OVERRIDE=[valore]]

Valori che possono essere interrogati e impostati da pam_env per sovrascrivere il valore di default.

Un esempio tipico sull'utilizzo di pam_env consiste nell'adattamento della variabile DISPLAY quando viene effettuato un login remoto. Questo meccanismo è illustrato nell'Esempio 16.7, "pam_env.conf".

Esempio 16.7. pam_env.conf

REMOTEHOST     DEFAULT=localhost OVERRIDE=@{PAM_RHOST}
DISPLAY        DEFAULT=${REMOTEHOST}:0.0 OVERRIDE=${DISPLAY}

La prima riga imposta il valore della variabile REMOTEHOST su localhost, che viene utilizzata ogni volta che il modulo pam_env non riesce a determinare altri valori. A sua volta, la variabile DISPLAY determina il valore di REMOTEHOST. Per ulteriori informazioni, esaminare i commenti nel file /etc/security/pam_env.conf.

16.3.3. pam_pwcheck.conf

Questo file di configurazione riguarda il modulo pam_pwcheck, che ne ricava le opzioni per tutti i moduli di password. Le impostazioni di questo file sovrascrivono le impostazioni PAM definite a livello della singola applicazione. Se queste non sono state definite, l'applicazione utilizza le impostazioni globali come definito nel file d'Esempio 16.8, "pam_pwcheck.conf" pam_pwcheck, ossia autorizzare le parole d'ordine vuote e la modifica delle stesse. Per ulteriori informazioni sulle opzioni del modulo, vedere /etc/security/pam_pwcheck.conf.

Esempio 16.8. pam_pwcheck.conf

password:    nullok

16.3.4. limits.conf

I limiti del sistema possono essere impostati a livello di un singolo o più utenti a partire dal file limits.conf, che viene letto dal modulo pam_limits. Questo file consente di impostare dei limiti rigidi che non possono in nessun caso essere oltrepassati e limiti flessibili che lo possono essere temporaneamente. Per saperne di più sulla sintassi e le opzioni disponibili, leggere i commenti nel file.