pam : Sécuriser encore un peu plus sa machine

Cet article pourrait être très long pour parler de pam. Dans un premier temps, voici quelques cas pratiques.

Limiter l'accès au compte root à certains utilisateurs :

Cette technique sera des plus efficace quand l'accès local à la machine est protégé. En effet elle n'empêchera personne de s'authentifier en tant que superutilisateur sur la console.

Utilisée conjointement avec la directive PermitRootLogin dans la configuration du serveur SSH, l'utilité de cette technique prend tout son sens.

Voir l'article : configuration du serveur SSH

Personne ne pourra s'authentifier en root directement. Il faudra utiliser son login utilisateur et faire un /bin/su - root qui sera accepté si on est dans le groupe qui va bien.

Le moyen le plus simple est d'ajouter les utilisateurs dans un groupe administratif dédié appelé wheel pour les autoriser à éléver leurs droits en superutilisateur.

usermod -G wheel login_utilisateur

Modifiez ensuite le fichier /etc/pam.d/su pour retirer un commentaire sur la ligne concernée.

# Uncomment the following line to require a user to be in the "wheel" group.
auth       required     /lib/security/$ISA/pam_wheel.so use_uid