Posts Tagged ‘ lpic-202 ’

LPIC-202: PAM – Pluggable Authentication Modules

Dieser Artikel richtet sich an Kandidaten zur ergänzenden Vorbereitung des zweiten Teils der Prüfung LPIC-2 des Linux Professional Institutes LPI. Er betrachtet in kurzer Form einige Begriffe und Schlüsselfunktionen im Zusammenhang mit PAM (Artikel als PDF ).

PAM (Pluggable Authentication Modules) ist eine modulare Methode der Authentifizierung, auf die von den verschiedensten Diensten zugegriffen werden kann. Programme wie login, ftp, su, cron, cups, samba, sshd u.v.m. können sich auf PAM stützen. Ein großer Vorteil von PAM ist, dass nicht jedes Programm seine eigene Authentifizierungsmethode implementieren muss. Dies reduziert nicht nur den Aufwand, sondern auch das Riskio der Kompromitierung. Würde eine Anwendung ohne PAM-Authentifizierung die Authentifizierungsmethode wechseln, so müsste das Programm neu kompiliert werden. Achtung! Eine unbedachte bzw. fehlerhafte Änderung an der PAM-Konfiguration kann dazu führen, dass man aus dem System komplett ausgesperrt wird. Deshalb immer eine zweite Konsole offen halten, bevor man die neue Konfiguration auf der ersten Konsole testet.

Konfiguration

Wegen seines modularen Aufbaus ist PAM vielseitig und flexibel einsetzbar. Jede Anwendung bzw. jeder Dienst, der PAM nutzt, hat eine eigene Konfigurationsdatei im Verzeichnis /etc/pam.d. Ersatzweise können auch alle Dienste in einer einzigen Datei, /etc/pam.conf konfiguriert werden (mit leicht abweichender Syntax), dann darf /etc/pam.d jedoch nicht existieren.

Ruft eine Anwendung PAM auf, bestimmt PAM mit der zugehörigen Konfigurationsdatei die Authentifizierungsmethode(n) und sendet den Erfolg bzw. Misserfolg des Versuchs an den Dienst zurück. Dabei wird die Datei Zeile für Zeile abgearbeitet. Jede Zeile besteht aus 3 bzw. 4 Spalten:

# Aufbau einer Konfigurationsdatei in /etc/pam.d: Modul-Typ Control-Flag Modul-Pfad Argumente(optional)

Konfigurationsdateien bestehen i.d.R. aus mehreren Zeilen, die eine nach der anderen abgearbeitet werden. Betrachten wir zunächst nur eine einzelne Zeile aus /etc/pam.d/login. Modul-Typ ist “auth”, das Control-Flag ist “required”. Angewandt wird das Modul “securetty.so” ohne Argumente (leer)

# Modul-Typ Control-Flag Modul-Pfad Argumente (optional) auth required pam_securetty.so

Modul-Typen:

Es gibt 4 Modul-Typen (auch PAM-Dienste genannt):
auth, account, session, password
Die genaue Aufgabe der Modultypen ist in der Manpage “pam.d” ausführlich erklärt. Hier nur jeweils eine kurze Beschreibung der Modultypen:

auth: Fragt den Nutzer nach einem Passwort und kann Gruppenrechte zuweisen
account: Kann den Zugang einschränken, z.B. aufgrund der Tageszeit oder von Systemressourcen
session: Vollzieht Aufgaben, bevor dem Nutzer Zugang gewährt wird z.B. das Einbinden von Verzeichnissen
password: Hält Authentifizierungsmechanismen auf dem neuesten Stand (fragt z.B. bei abgelaufenen Passwörtern die Angabe eines neuen an)

Control Flags (Wichtigkeit):

Die 4 wichtigsten “Control Flags” definieren, wie eine PAM-Bibliothek auf den Erfolg bzw. Misserfolg eines Authentifizierungsversuchs zu reagieren hat:
required, requisite, optional, sufficient

required: Die Bedingung für den assoziierten Modultyp muss erfüllt sein, damit die Authentifizierung als erfolgreich zurückgemeldet werden kann. Schlägt die Authentifizierung fehl, wird trotzdem die komplette Liste abgearbeitet, bevor das Ergebnis an den Nutzer rückgemeldet wird. Versucht sich z.B. der Nutzer susi als “suse” anzumelden, wird trotzdem erst das Passwort abgefragt. Erst dann wird “nicht erfolgreich” zurückgemeldet.
requisite: Wie required, nur wird die Liste nicht abgearbeitet,wenn die Authentifizierung fehlschlägt. Der Vorgang wird abgebrochen, die Rückmeldung erfolgt umgehend. Oft verwendet, wenn der Benutzer z.B. versucht, sich über ein unsicheres Medium einzuloggen. So wird verhindert, dass das Passwort gar nicht erst abgefragt wird und abgefangen werden kann.
optional: Wie der Name sagt. Optional, nicht für den Erfolg der Authentifizierung vorausgesetzt.
sufficient: Wurde die Bedingung des assoziierten Modul-Typs erfüllt, gilt die Authentifizierung als erfolgreich. Im Gegensatz zu required und requisite wird der Rest der Liste (Bedingungen) nicht mehr abgearbeitet.

Modul-Pfad und Argumente:

PAM-Module sind i.d.R. im Verzeichnis /lib/security zu Hause. Eine Auswahl wichtiger Module:
pam_unix.so
Standardmodul für die Authentifizierung
pam_cracklib.so
Prüft die Stärke eines Passworts
pam_limits.so
Setzt Ressourcenlimits für eine Session
pam_listfile.so
Regelt Zugriff aufgrund einer Liste

Dem Modul können spezifische Argumente mit auf den Weg gegeben werden. Ein Beispiel ist das Argument “nullok”, welches die Verwendung leerer Passwörter erlaubt.

Weiterführende Infos/Links:

man pam
man pam.d
LinuxNetzer Blog: Alle LPIC-202 Artikel

LPIC-202: Network File System (NFS)

Dieser Artikel richtet sich an Kandidaten zur ergänzenden Vorbereitung des zweiten Teils der Prüfung LPIC-2 des Linux Professional Institutes LPI. Dieser Artikel setzt Grundkenntnisse über NFS voraus und beschränkt sich auf eine knappe Betrachtung der Liste von Dateien, Begriffen und Werkzeugen, die für das Verständnis von NFS erforderlich sind. (Artikel als PDF)

Auszug aus den “Detailed Objectives” 209.2 (NFS Server Configuration):

The following is a partial list of the used files, terms and utilities:

* /etc/exports
* exportfs
* showmount
* nfsstat
* /proc/mounts
* /etc/fstab
* rpcinfo
* mountd
* portmapper

* /etc/exports
Die Hauptkonfigurationsdatei des NFS-Servers. Hier wird durch den Server festgelegt:

— welche Verzeichnisse freigegeben werden
— wer darauf zugreifen darf
— wie darauf zugegriffen werden darf (lesen, schreiben usw.):

Einige Beispiele und Erläuterungen (schamlos entnommen aus der Manpage von exports):
# Beispielhafte /etc/exports Datei / master(rw) trusty(rw,no_root_squash) /projects proj*.local.domain(rw) /usr *.local.domain(ro) @trusted(rw) /home/joey pc007(rw,all_squash,anonuid=501,anongid=100) /pub (ro,insecure,all_squash)

Die erste Zeile besagt, dass das komplette /-Dateisystem an die beiden Maschinen master und trusty exportiert werden. Zusätzlich zum erlaubten Schreibzugriff ist die Umwandlung der Superuser-ID 0 für den Rechner trusty ausgeschaltet.

Die nächsten beiden Zeilen geben ein Beispiel für Wildcard-Rechnernamen und Netzwerkgruppen (der Eintrag @trusted ist ein solcher). Die vierte Zeile beschreibt einen Eintrag für einen PC-NFS-Client wie oben angesprochen.

Die letzte Zeile exportiert das FTP /pub-Verzeichnis an jeden Rechner in der Welt (der am Internet teilnimmt). Alle Zugriffe werden unter der anonymen UID durchgeführt. Die insecure-Option erlaubt auch Clients den Zugriff, die keine reservierten Ports verwenden.

* exportfs
Nach jeder Änderung an der Datei /etc/exports muss auf dem Server

exportfs -ra

aufgerufen werden, um die Änderung wirksam werden zu lassen (auch wenn ein “exportfs -a” i.d.R. genügt). Der Befehl synchronisiert /etc/exports mit der Datei /var/lib/nfs/xtab, wo die Konfiguration von mountd (siehe weiter unten) eingelesen werden kann. Auf der Fehlersuche nach einem Verzeichnis, das trotz Freigabe in /etc/exports nicht eingebunden werden kann, ist die Ausführung von “exportfs -a” nicht selten die Antwort auf das Problem.

* showmount
Das Kommando showmount befragt mountd und zeigt Informationen über die gemounteten Verzeichnisse des NFS-Servers an.

showmount -a

… zeigt an, welche Clients zur Zeit welche Dateisysteme gemountet haben (im Format host:/Verzeichnis). Dies funktioniert aber nicht immer zuverlässig. Wenn es zu Fehlern kommt, ist dies meist die Anzeige eines veralteten, nicht mehr aktiven Verzeichnisses.

showmount -e

… zeigt an, welche Verzeichnisse aktuell durch den Server zur Verfügung gestellt werden (ähnlich zu “cat /etc/exports“)

* nfsstat
nfsstat zeigt Statistiken zu NFS an (ohne weitere Option für Server UND Clients). Zwei wichtige Optionen sind:

# zeigt nur Statistiken für den Server an:
nfsstat -s

# zeigt nur Statistiken für Clients an:
nfsstat -c

* /proc/mounts
Wie alle Dateien im Verzeichnis /proc wird auch /proc/mounts zur Laufzeit generiert. In /proc/mounts sind alle gemounteten Dateisysteme aufgelistet. Mit:

cat /proc/mounts

kann überprüft werden, ob ein Verzeichnis überhaupt eingebunden ist, und wenn ja, mit welchen Rechten.

* /etc/fstab
Wer als Client es leid ist ein Verzeichnis ständig manuell mounten zu müssen mit …

mount -t nfs 192.168.3.200:/videos /mnt/videos

… der kann ein Verzeichnis schon mit dem Systemstart einbinden und schreibt dies in die /etc/fstab. Hier ein Beispiel:

192.168.3.200:/videos /mnt/videos nfs rw 0 0

Dies bindet das Verzeichnis /video des Servers mit der Adresse 192.168.3.200 unter /mnt/videos (Rechner des Clients) ein; nfs beschreibt den Dateisystemtyp, rw steht für Lese- und Schreibrechte (vorausgesetzt, der Server hat diese Rechte in seiner /etc/exports auch freigegeben).

* rpcinfo
Mit rpcinfo kann man prüfen, welche RPC-Dienste auf einer Maschine laufen. Vom Client aus könnte man z.B. prüfen, ob auf dem Server “nfsserver” NFS überhaupt läuft mit:

rpcinfo -p nfsserver

Dies zeigt eine Liste aller RPC-Dienste auf “nfsserver”. Auf dem Server selbst könnte man den Rechnernamen als Argument weglassen:

rpcinfo -p

* mountd
Manchmal auch rpc.mountd oder mounted genannt. Dies ist als Dämon die zentrale Instanz, die für das Einbinden von Verzeichnissen zuständig ist. Vereinfacht gesagt: Die Anfrage eines Clients, ein Verzeichnis mit NFS einzubinden, landet (über den Umweg des portmappers, siehe unten) bei mountd. mountd prüft in der Datei /etc/exports des Servers, ob der Client die entsprechende Berechtigung hat. Im Erfolgsfall gibt mountd das Verzeichnis (via file handle) an den anfragenden Client frei.

* portmapper
Manchmal portmap oder rpc.bind genannt, unterstützt der portmapper RPC-Funktionen. NFS nutzt RPC (Remote Procedure Calls) um Anfragen zwischen Clients und Servern zu routen. Ein beim Portmapper regsitrierter RPC-Prozess kann vom Client nicht direkt kontaktiert werden. Die Anfrage des Clients wird vom Portmapper (i.d.R. Port 111) weitergeleitet. Ohne Portmapper kein NFS. Ein nicht aktiver Portmapper kann ein Grund dafür sein, weshalb NFS-Freigaben nicht eingebunden werden können (siehe auch rpcinfo).

Links:
LinuxNetzer Blog: Alle LPIC-202 Artikel
Troubleshooting NFS (Englisch)
LPIC-202: Lernziele im Überblick (Englisch)
IBM: LPI-Vorbereitung NFS

FTP-Server VSFTPD: Wichtige Konfigurationsparameter

vsftpd (“Very Secure FTP Daemon”) ist ein FTP-Server, der im Hinblick auf Sicherheit konzipiert wurde. Die Konfigurationen für den FTP-Server vsftpd werden dabei in /etc/vsftpd.conf vorgenommen. Hier sind einige wichtige Parameter im Überblick – jede Änderung in der Konfiguration kann durch Neustart von vsftpd bzw. dem Reload der Konfigurationsdatei wirksam gemacht werden:

/etc/init.d/vsftpd restart

# /etc/vsftpd.conf:
# Soll der Server als “Standalone” laufen? (Alternative: inetd)
listen=YES

# Soll anonymes FTP erlaubt sein? Wenn aktiviert, werden sowohl
# “ftp” als auch “anonymous” als Nutzer für anonyme Logins akzeptiert.
# Sollte man sich gut überlegen …
anonymous_enable=YES

# Soll der Login von lokalen Nutzern erlaubt sein?
local_enable=YES

# Jede Form des FTP write Kommandos erlauben (Vorsicht!)
# Betrifft: STOR, DELE, RNFR, RNTO, MKD, RMD, APPE and SITE
write_enable=YES

# Anonymen Nutzern erlauben, Dateien hochzuladen?
# Aktivierung nur dann wirksam, wenn “write_enable=YES” !
# Und es muss natürlich ein Verzeichnis mit anonymen Schreibrechten erstellt sein
# Nur zu empfehlen, wenn man weiß, was man tut …
anon_upload_enable=YES

# Sollen anonyme Nutzer auch Verzeichnisse erstellen können?
# Setzt natürlich voraus, dass write_enable=YES und anon_upload_enable=YES
anon_mkdir_write_enable=YES

# Logging für uploads/downloads aktivieren?
xferlog_enable=YES

# Sind die folgenden beiden Direktiven aktiviert, wechseln hochgeladene Dateien
# den Benutzer (hier zu “whoever”). Dies verhindert ein Löschen oder Überschreiben
# der Dateien durch den anonymen Nutzer, was oft gewünscht ist. Der Nutzer “whoever”
# sollte nur diese Aufgabe haben, “nobody” zu nutzen wäre unsicher, da jeder Prozess
# mit “nobody-Rechten” auch Dateien löschen könnte.
chown_uploads=YES
chown_username=whoever

# Nutzername, unter dem der FTP-Server isoliert und ohne root-Rechte laufen kann
# I.d.R. bei der Installation so festgelegt …
nopriv_user=ftpsecure

# Begrüßungsbanner:
ftpd_banner=”Hallo! Ich bin das FDP- äh FTP-Begrüßungsbanner!”#

#Standardmäßig ist das Logfile unter /var/log/vsftpd nicht sehr gesprächig. Um quasi in den Debug-Modus zu schalten,
# der alle Statusmeldungen protokolliert die folgenden Einstellungen ändern:
ftp_user_log=YES
xferlog_enable=YES

vsftpd Homepage
Wiki Ubuntuusers: vsftpd
vsftpd Troubleshooting