El directorio /etc/pam.d se usa para configurar todas las aplicaciones PAM.
(En las versiones iniciales de PAM estos se localizaban en
/etc/pam.conf; aunque todavía se lee el fichero pam.conf si no se localiza
una entrada en
/etc/pam.d/, su uso está desaconsejado.) Cada aplicación
(realmente, cada servicio) tiene su propio fichero. Un fichero PAM aparecerá
como éste:
97#97
La primera línea es un comentario. Cualquier línea que comienza con el carácter # es un comentario. Las tres líneas siguientes apilan tres módulos que se usan en la autorización de registro [login]. La segunda línea nos asegura que si un usuario intenta acceder como superusuario, el terminal (tty) sobre el que accede se encuentre incluido en el fichero /etc/securetty si este existiera. La tercera línea provoca que se solicite al usuario una contraseña y que ésta se verifique. La cuarta línea comprueba la existencia del fichero /etc/nologin; si es asi, consulta el contenido del fichero, y si el usuario no es el superusuario, no le permite el acceso al sistema.
Advierta que los tres módulos son verificados, incluso si el primer módulo falla. Esto es debido a una decisión de seguridad -- se diseñó así para que el usuario ignore porqué su autenticación se había rechazado, porque conociendo esto, podría permitirle fácilmente evitar la autenticación. Puede cambiar este comportamiento cambiando required por requisite; si algún módulo requisite falla, PAM inmediatamente fallará sin llamar al resto de módulos.
La quinta línea realiza los procesos contables necesarios. Por ejemplo, si se han activado las contraseñas-shadow, el módulo pam_pwdb.so verificará si la cuenta ha expirado, o si el usuario no ha cambiado su contraseña habiendo finalizado el periodo de gracia para cambiarla.
La sexta línea chequea una nueva contraseña para asegurar que no pueda ser fácilmente obtenida por un programa generador de contraseñas basado en el diccionario.
La séptima línea (en la cual tuvimos que introducir un salto de línea) especifica que si el programa de acceso [login] cambia la contraseña del usuario, tendrá que usar el módulo pam_pwdb.so para realizar esto. (Sólo si un módulo auth determina que la contraseña necesita cambiarse, por ejemplo, si una contraseña-shadow ha expirado.)
La última línea especifica que el módulo pam_pwdb.so debe usarse para gestionar la sesión. Actualmente, ese módulo no realiza nada; se puede reemplazar por cualquier módulo necesario.
Tenga en cuenta que es importante el orden de las líneas dentro de cada fichero. Mientras que realmente no importa mucho el orden en el que se llama a los módulos required, existen disponibles otras banderas de control en las que esto no es así. Aunque optional raramente se usa, y nunca por defecto en los sistemas Red Hat Linux, al usar sufficient y requisite, el orden de las líneas se vuelve importante.
Observe la configuración del módulo auth para rlogin:
98#98
El aspecto es casi como el del fichero login, pero con una línea de más que especifica un módulo extra, y los módulos se especifican en orden diferente.
Primero, pam_securetty.so no permite los accesos del superusuario realizados desde terminales inseguros. Esto rechaza todos los intentos del superusuario al servicio rlogin. Si desea permitir esto (en cuyo caso, nosotros le recomendamos que, o no este conectado a internet o que tenga su máquina detrás de un buen cortafuegos), simplemente elimine esta línea.
A continuación, pam_nologin.so verifica el fichero /etc/nologin, como se especificó anteriormente.
En tercer lugar, si pam_rhosts_auth.so autentifica al usuario, PAM inmediatamente retornará con éxito al servicio rlogin sin que se realice el chequeo de la contraseña. Si pam_rhosts_auth.so falla al autenticar al usuario, se ignorará la autenticación fallida.
Finalmente (si pam_rhosts_auth.so no autenticó al usuario), el módulo pam_pwdb.so ejecuta una autenticación de contraseña normal.
Tenga en cuenta que si usted no quiere que se solicite la contraseña cuando falle el chequeo del terminal seguro, tiene que cambiar la bandera del módulo pam_securetty.so de required a requisite.