Flashcards: 210.2 - Autenticacion Pam
40 tarjetas de repaso. Usa el sistema de repeticion espaciada para memorizar.
P: ¿Cuáles son los cuatro tipos de módulos PAM?
R: b) auth, account, password, session. Los cuatro tipos de módulos PAM son: auth (verificación de identidad), account (verificación de permisos de cuenta), password (gestión de cambios de contraseña) y session (configuración del entorno de sesión).
P: ¿Cuál es la diferencia principal entre el flag required y requisite?
R: b) required continúa evaluando los demás módulos y requisite detiene la evaluación inmediatamente. Cuando un módulo required falla, la pila sigue evaluando el resto de módulos (para no revelar qué paso falló), pero el resultado final será fallo. Con requisite, el fallo detiene inmediatamente la evaluación y devuelve fallo al instante.
P: ¿Qué módulo PAM se utiliza para restringir el uso de su a los miembros del grupo wheel?
R: c) pam_wheel.so. El módulo pam_wheel.so se configura en /etc/pam.d/su con la línea auth required pam_wheel.so para que solo los usuarios del grupo wheel puedan usar el comando su.
P: ¿En qué directorio se encuentran los archivos de configuración PAM por servicio?
R: c) /etc/pam.d/. Los archivos de configuración PAM se encuentran en /etc/pam.d/. Cada archivo lleva el nombre del servicio que configura (login, sshd, su, sudo, etc.).
P: ¿Qué ocurre cuando existe el archivo /etc/nologin y se utiliza el módulo pam_nologin.so?
R: b) Solo root puede iniciar sesión. Cuando existe el archivo /etc/nologin, el módulo pam_nologin.so impide el inicio de sesión de todos los usuarios excepto root. El contenido del archivo se muestra como mensaje a los usuarios rechazados.
P: En el archivo /etc/security/limits.conf, ¿qué línea limita a un máximo de 50 procesos para todos los miembros del grupo “desarrollo”?
R: b) @desarrollo hard nproc 50. En limits.conf, los grupos se indican con el prefijo @. La línea @desarrollo hard nproc 50 establece un límite duro de 50 procesos para todos los miembros del grupo “desarrollo”.
P: ¿Qué módulo PAM es el sucesor moderno de pam_cracklib.so para verificar la calidad de las contraseñas?
R: c) pam_pwquality.so. pam_pwquality.so es el reemplazo moderno de pam_cracklib.so. Ambos verifican la calidad de las contraseñas, pero pam_pwquality.so ofrece más opciones de configuración y es el estándar actual.
P: ¿Qué hace el flag de control sufficient cuando el módulo tiene éxito?
R: b) Detiene la evaluación y devuelve éxito inmediato si ningún módulo required previo ha fallado. Cuando un módulo con flag sufficient tiene éxito y no hay módulos required previos que hayan fallado, la evaluación se detiene y se devuelve éxito. Si falla, simplemente se ignora y se continúa con el siguiente módulo.
P: ¿Qué módulo PAM permite la integración con SSSD para autenticación centralizada?
R: b) pam_sss.so. El módulo pam_sss.so integra PAM con SSSD (System Security Services Daemon), permitiendo autenticación centralizada contra múltiples backends como LDAP, Active Directory o FreeIPA.
P: ¿Qué módulo PAM se utiliza para bloquear cuentas después de múltiples intentos fallidos de autenticación en sistemas modernos?
R: c) pam_faillock.so. pam_faillock.so es el módulo moderno para bloquear cuentas tras intentos fallidos de autenticación. Reemplaza a pam_tally2.so, que está obsoleto. Se configura con parámetros como deny=5 (bloquear tras 5 fallos) y unlock_time=900 (desbloquear tras 900 segundos).
P: ¿Qué módulo PAM realiza la autenticación estándar contra /etc/passwd y /etc/shadow?
R: b) pam_unix.so. pam_unix.so es el módulo fundamental de PAM que realiza la autenticación estándar contra los archivos locales /etc/passwd y /etc/shadow. Se utiliza en los cuatro tipos de módulos: auth, account, password y session.
P: En la configuración de pam_pwquality.so, ¿qué significa el parámetro dcredit=-1?
R: b) Se requiere al menos un dígito en la contraseña. En pam_pwquality.so, un valor negativo en dcredit indica el número mínimo de dígitos requeridos. Así, dcredit=-1 exige al menos un dígito. Un valor positivo sumaría crédito a la longitud por cada dígito encontrado.
P: ¿Qué módulo PAM siempre deniega el acceso y se usa como política restrictiva por defecto?
R: b) pam_deny.so. pam_deny.so siempre devuelve un resultado de fallo, denegando el acceso. Se utiliza típicamente al final de la pila PAM como política por defecto restrictiva, garantizando que si ningún otro módulo ha concedido acceso, se deniegue. Su contraparte es pam_permit.so, que siempre permite.
P: ¿Qué archivo de configuración en /etc/security/ define restricciones de acceso basadas en reglas temporales?
R: b) /etc/security/time.conf. El archivo /etc/security/time.conf define reglas de acceso basadas en el tiempo (hora, día de la semana). Es utilizado por el módulo pam_time.so para restringir el acceso a servicios según franjas horarias configuradas.
P: ¿Cuál es la diferencia entre los límites soft y hard en /etc/security/limits.conf?
R: b) soft es el límite que el usuario puede aumentar hasta hard, que es el límite absoluto. El límite soft es el valor predeterminado que se aplica al usuario, pero este puede aumentarlo con ulimit hasta el valor del límite hard. El límite hard es el tope absoluto que solo root puede modificar. Se puede usar - para establecer ambos al mismo valor.
P: ¿Qué tipo de módulo PAM se encarga de gestionar el cambio de contraseñas, incluyendo la verificación de complejidad?
R: c) password. El tipo password de PAM se encarga de la gestión de cambios de contraseña. Los módulos de este tipo verifican la calidad de la nueva contraseña (longitud, complejidad, historial) y realizan la actualización. Módulos como pam_pwquality.so y pam_unix.so se usan en esta categoría.
P: ¿Qué módulo PAM se utiliza para aplicar los límites de recursos definidos en /etc/security/limits.conf?
R: c) pam_limits.so. El módulo pam_limits.so lee y aplica los límites definidos en /etc/security/limits.conf. Debe estar configurado como session required pam_limits.so en los archivos PAM correspondientes. Sin este módulo habilitado, los límites definidos en limits.conf no se aplican.
P: En la configuración PAM de un sistema RHEL/CentOS, ¿qué archivo contiene las reglas de autenticación comunes del sistema?
R: b) /etc/pam.d/system-auth. En sistemas RHEL/CentOS, las reglas de autenticación comunes se encuentran en /etc/pam.d/system-auth y /etc/pam.d/password-auth. En sistemas Debian/Ubuntu, los equivalentes son los archivos common-auth, common-account, common-password y common-session.
P: ¿Qué módulo PAM controla el acceso basándose en reglas definidas en /etc/security/access.conf?
R: b) pam_access.so. El módulo pam_access.so utiliza las reglas de /etc/security/access.conf para permitir o denegar el acceso basándose en el nombre de usuario, grupo, nombre de host o dirección IP. Se configura como account required pam_access.so.
P: ¿Qué flag de control PAM hace que el resultado del módulo solo importe si es el único módulo de ese tipo en la pila?
R: d) optional. El flag optional indica que el resultado del módulo solo es relevante si es el único módulo del mismo tipo en la pila PAM. Si hay otros módulos, su éxito o fallo se ignora. Se usa comúnmente para módulos de sesión que proporcionan funcionalidades adicionales no críticas.
P: ¿En qué directorio se encuentran los módulos PAM compilados (archivos .so) en un sistema Debian de 64 bits?
R: /lib/x86_64-linux-gnu/security/. En sistemas Debian/Ubuntu de 64 bits, los módulos PAM se encuentran en /lib/x86_64-linux-gnu/security/. En sistemas RHEL/CentOS de 64 bits, la ruta es /lib64/security/. Estos directorios contienen los archivos .so que implementan cada módulo.
P: ¿Qué línea se debe añadir en el archivo PAM de su para restringir su uso solo a miembros del grupo wheel?
R: auth required pam_wheel.so. La línea auth required pam_wheel.so en /etc/pam.d/su restringe el uso del comando su a los miembros del grupo wheel. Si un usuario que no pertenece al grupo wheel intenta usar su, la autenticación fallará.
P: ¿Qué línea de configuración en /etc/security/limits.conf establece un límite duro de 4096 archivos abiertos para el usuario admin?
R: admin hard nofile 4096. La línea admin hard nofile 4096 establece un límite duro de 4096 descriptores de archivo abiertos simultáneamente para el usuario admin. El campo nofile representa el número máximo de archivos abiertos y hard indica que es un límite absoluto.
P: ¿Qué línea PAM se añade para habilitar la depuración en el módulo pam_unix.so durante la autenticación?
R: auth required pam_unix.so debug. Añadir el parámetro debug al final de la línea del módulo habilita la salida de depuración. Los mensajes de depuración se envían al log de autenticación (/var/log/auth.log en Debian o /var/log/secure en RHEL).
P: ¿Qué línea de configuración PAM configura pam_faillock.so para bloquear la cuenta tras 3 intentos fallidos con desbloqueo automático a los 600 segundos?
R: auth required pam_faillock.so preauth deny=3 unlock_time=600. La configuración de pam_faillock.so con deny=3 bloquea la cuenta tras 3 intentos fallidos y unlock_time=600 la desbloquea automáticamente después de 600 segundos (10 minutos). Se necesitan dos líneas: una con preauth (antes de la autenticación) y otra con authfail (tras el fallo).
P: Tip de examen: Memoriza los cuatro tipos de módulos PAM y qué función cumple cada uno. Es una d…
R: Memoriza los cuatro tipos de módulos PAM y qué función cumple cada uno. Es una de las preguntas más frecuentes del tema.
P: Tip de examen: La diferencia entre required y requisite es clave. required continúa evalu…
R: La diferencia entre required y requisite es clave. required continúa evaluando (para no revelar qué módulo falló), mientras que requisite detiene inmediatamente.
P: Tip de examen: Si existe /etc/nologin, solo root puede iniciar sesión. El contenido del archi…
R: Si existe /etc/nologin, solo root puede iniciar sesión. El contenido del archivo se muestra como mensaje a los usuarios rechazados.
P: Tip de examen: limits.conf requiere que pam_limits.so esté habilitado en la sesión PAM corr…
R: limits.conf requiere que pam_limits.so esté habilitado en la sesión PAM correspondiente. Sin la línea session required pam_limits.so, los límites no se aplicarán.
P: Que hace el comando minlen?
R: Longitud mínima de la contraseña
P: Que hace el comando dcredit?
R: Crédito por dígitos (negativo = requeridos)
P: Que hace el comando ucredit?
R: Crédito por mayúsculas (negativo = requeridas)
P: Que hace el comando ocredit?
R: Crédito por caracteres especiales
P: Que hace el comando nofile?
R: Número máximo de archivos abiertos
P: Que es/son Introducción a PAM?
R: PAM (Pluggable Authentication Modules) es un framework que permite a las aplicaciones de Linux delegar la autenticación a módulos configurables de forma independiente. Gracias a PAM, las aplicaciones n
P: Que es/son Arquitectura de PAM?
R: PAM organiza la autenticación en cuatro tipos de módulos (grupos funcionales):
P: Que es/son Flags de control?
R: Los flags de control determinan cómo se comporta la pila PAM cuando un módulo tiene éxito o falla:
P: Que es/son Archivo /etc/security/limits.conf?
R: Define límites de recursos para usuarios y grupos. Es leído por pam_limits.so.
P: Que es/son Orden de evaluación?
R: PAM evalúa los módulos de arriba hacia abajo dentro de cada tipo. El resultado final depende de la combinación de los flags de control:
P: Que es/son Trampas del examen?
R: > Errores comunes y distinciones criticas que LPI suele evaluar en este subtema: