Bab 4. Kontrol akses dan autentikasi

Berikut adalah beberapa berkas konfigurasi penting yang diakses oleh PAM dan NSS.

Pembatasan pemilihan kata sandi dilaksanakan oleh modul PAM, pam_unix(8) dan pam_cracklib(8). Mereka dapat dikonfigurasi oleh argumen mereka.

	Tip
	Modul PAM menggunakan akhiran ".so" untuk nama berkas mereka.

Manajemen sistem terpusat modern dapat digelar memakai server Lightweight Directory Access Protocol (LDAP) terpusat untuk mengelola banyak sistem mirip Unix dan non-Unix di jaringan. Implementasi open source dari Lightweight Directory Access Protocol adalah Perangkat Lunak OpenLDAP.

Server LDAP menyediakan informasi akun melalui penggunaan PAM dan NSS dengan paket libpam-ldap dan libnss-ldap untuk sistem Debian. Beberapa tindakan diperlukan untuk mengaktifkan ini (Saya belum menggunakan penyiapan ini dan berikut ini adalah informasi sekunder murni. Silakan baca ini dalam konteks ini).

Lihat dokumentasi di pam_ldap.conf(5) dan "/usr/share/doc/libpam-doc/html/" yang ditawarkan oleh paket libpam-doc dan "info libc 'Name Service Switch'" yang ditawarkan oleh paket glibc-doc.

Demikian pula, Anda dapat mengatur sistem terpusat alternatif dengan metode lain.

Ini adalah frasa terkenal di bagian bawah halaman "info su" lama oleh Richard M. Stallman. Tidak perlu khawatir: perintah su saat ini di Debian menggunakan PAM, sehingga seseorang dapat membatasi kemampuan untuk menggunakan su ke grup root dengan mengaktifkan baris dengan "pam_wheel.so" dalam "/etc/pam.d/su".

# here are the per-package modules (the "Primary" block)
password	requisite			pam_cracklib.so retry=3 minlen=8 difok=3
password	[success=1 default=ignore]	pam_unix.so obscure use_authtok try_first_pass yescrypt
# here's the fallback if no module succeeds
password	requisite			pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password	required			pam_permit.so
# and here are more per-package modules (the "Additional" block)
password	optional	pam_gnome_keyring.so
# end of pam-auth-update config

Banyak layanan lapisan transportasi populer mengkomunikasikan pesan termasuk otentikasi kata sandi dalam teks polos. Adalah ide yang sangat buruk untuk mengirimkan kata sandi dalam teks polos melalui Internet liar di mana ia dapat disadap. Anda dapat menjalankan layanan ini melalui "Transport Layer Security" (TLS) atau pendahulunya, "Secure Sockets Layer" (SSL) untuk mengamankan seluruh komunikasi termasuk kata sandi dengan enkripsi.

Enkripsi memakan waktu CPU. Sebagai alternatif yang ramah CPU, Anda dapat menjaga komunikasi dalam teks polos sambil mengamankan hanya kata sandi dengan protokol otentikasi aman seperti "Authenticated Post Office Protocol" (APOP) untuk POP dan "Challenge-Response Authentication Mechanism MD5" (CRAM-MD5) untuk SMTP dan IMAP. (Untuk mengirim pesan surel melalui Internet ke server surel Anda dari klien surel Anda, baru-baru ini populer untuk menggunakan port message submission baru 587 alih-alih port SMTP tradisional 25 untuk menghindari pemblokiran port 25 oleh penyedia jaringan sambil mengautentikasi diri Anda dengan CRAM-MD5.)

Program Secure Shell (SSH) menyediakan komunikasi terenkripsi yang aman antara dua host yang tidak tepercaya melalui jaringan yang tidak aman dengan otentikasi yang aman. Ini terdiri dari klien OpenSSH, ssh(1), dan daemon OpenSSH, sshd(8). SSH ini dapat digunakan untuk membungkus komunikasi protokol yang tidak aman seperti POP dan X dengan aman melalui Internet dengan fitur penerusan port.

Klien mencoba mengautentikasi dirinya sendiri menggunakan autentikasi berbasis host, otentikasi kunci publik, otentikasi challenge-response, atau autentikasi kata sandi. Penggunaan otentikasi kunci publik memungkinkan login tanpa kata sandi jarak jauh. Lihat Bagian 6.3, “Server dan utilitas akses jarak jauh (SSH)”.

Bahkan ketika Anda menjalankan layanan aman seperti server Secure Shell (SSH) dan Point-to-point tunneling protocol (PPTP), masih ada kemungkinan untuk pembobolan menggunakan serangan brute force menebak kata sandi dari Internet. Penggunaan kebijakan firewall (lihat Bagian 5.7, “Infrastruktur netfilter”) bersama dengan alat-alat keamanan berikut dapat meningkatkan situasi keamanan.

Untuk mencegah orang mengakses mesin Anda dengan hak istimewa root, Anda perlu membuat tindakan berikut.

• Mencegah akses fisik ke hard disk

• Mengunci UEFI/BIOS dan mencegah boot dari media lepasan

• Mengatur kata sandi untuk sesi interaktif GRUB

• Mengunci menu GRUB dari penyuntingan

Dengan akses fisik ke hard disk, mengatur ulang kata sandi relatif mudah dengan langkah-langkah berikut.

1. Pindahkan hard disk ke PC dengan CD UEFI/BIOS yang dapat di-boot.

2. Mem-boot sistem dengan media penyelamatan (boot disk Debian, CD Knoppix, CD GRUB, …).

3. Kait partisi root dengan akses baca/tulis.

4. Sunting "/etc/passwd" di partisi root dan jadikan entri kedua untuk akun root kosong.

Jika Anda memiliki akses sunting ke entri menu GRUB (lihat Bagian 3.1.2, “Tahap 2: boot loader”) untuk grub-rescue-pc pada waktu boot, bahkan lebih mudah dengan langkah-langkah berikut.

Shell root sistem sekarang dapat diakses tanpa kata sandi.

Satu-satunya solusi perangkat lunak yang masuk akal untuk menghindari semua masalah ini adalah dengan menggunakan partisi root terenkripsi perangkat lunak (atau partisi "/etc") menggunakan dm-crypt dan initramfs (lihat Bagian 9.9, “Tips enkripsi data”). Namun Anda selalu membutuhkan kata sandi untuk mem-boot sistem.

ACLs are a superset of the regular permissions as explained in Bagian 1.2.3, “Hak akses sistem berkas”.

You encounter ACLs in action on modern desktop environment. When a formatted USB storage device is auto mounted as, e.g., "/media/penguin/USBSTICK", a normal user penguin can execute:

 $ cd /media/penguin
 $ ls -la
total 16
drwxr-x---+ 1 root    root    16 Jan 17 22:55 .
drwxr-xr-x  1 root    root    28 Sep 17 19:03 ..
drwxr-xr-x  1 penguin penguin 18 Jan  6 07:05 USBSTICK

"+" in the 11th column indicates ACLs are in action. Without ACLs, a normal user penguin shouldn't be able to list like this since penguin isn't in root group. You can see ACLs as:

 $ getfacl .
# file: .
# owner: root
# group: root
user::rwx
user:penguin:r-x
group::---
mask::r-x
other::---

Sini:

Lihat "POSIX Access Control Lists on Linux", acl(5), getfacl(1), dan setfacl(1) untuk lebih banyak lagi.

sudo(8) adalah program yang dirancang untuk memungkinkan sysadmin untuk memberikan hak istimewa root terbatas kepada pengguna dan mencatat log aktivitas root. sudo hanya membutuhkan kata sandi pengguna biasa. Pasang paket sudo dan aktifkan dengan mengatur opsi di "/etc/sudoers". Lihat contoh konfigurasi di "/usr/share/doc/sudo/examples/sudoers" dan Bagian 1.1.12, “konfigurasi sudo”.

Penggunaan sudo saya untuk sistem pengguna tunggal (lihat Bagian 1.1.12, “konfigurasi sudo”) bertujuan untuk melindungi diri dari kebodohan saya sendiri. Secara pribadi, saya menganggap menggunakan sudo alternatif yang lebih baik daripada menggunakan sistem dari akun root sepanjang waktu. Misalnya, berikut ini mengubah pemilik "suatu_berkas" menjadi "namaku".

$ sudo chown my_name some_file

Tentu saja jika Anda tahu kata sandi root (seperti yang dilakukan pengguna Debian yang dipasang sendiri), perintah apa pun dapat dijalankan di bawah root dari akun pengguna mana pun menggunakan "su -c".

PolicyKit adalah komponen sistem operasi untuk mengendalikan hak istimewa di seluruh sistem dalam sistem operasi mirip Unix.

Aplikasi GUI yang lebih baru tidak dirancang untuk berjalan sebagai proses istimewa. Mereka berbicara dengan proses istimewa melalui PolicyKit untuk melakukan operasi administratif.

PolicyKit membatasi operasi tersebut ke akun pengguna milik grup sudo pada sistem Debian.

Lihat polkit(8).

Untuk keamanan sistem, adalah ide yang baik untuk menonaktifkan sebanyak mungkin program server. Ini menjadi penting untuk server jaringan. Memiliki server yang tidak digunakan, diaktifkan baik secara langsung sebagai daemon atau melalui program super-server, dianggap sebagai risiko keamanan.

Banyak program, seperti sshd(8), menggunakan kontrol akses berbasis PAM. Ada banyak cara untuk membatasi akses ke beberapa layanan server.

Lihat Bagian 3.5, “Manajemen sistem”, Bagian 4.5.1, “Berkas konfigurasi yang diakses oleh PAM dan NSS”, dan Bagian 5.7, “Infrastruktur netfilter”.

Kernel Linux telah berevolusi dan mendukung fitur keamanan yang tidak ditemukan dalam implementasi UNIX tradisional.

Linux mendukung atribut extended yang memperluas atribut UNIX tradisional (lihat xattr(7)).

Linux membagi hak istimewa yang secara tradisional terkait dengan superuser menjadi unit-unit yang berbeda, yang dikenal sebagai capabilities(7), yang dapat diaktifkan dan dinonaktifkan secara independen. Kapabilitas adalah atribut per-thread sejak kernel versi 2.2.

Kerangka Kerja Linux Security Module (LSM) menyediakan mekanisme untuk berbagai pemeriksaan keamanan yang akan di-hook oleh ekstensi kernel baru. Misalnya:

Karena ekstensi ini dapat memperketat model hak istimewa lebih ketat daripada kebijakan model keamanan mirip-Unix biasa, bahkan kekuatan root dapat dibatasi. Anda disarankan untuk membaca dokumen kerangka kerja Linux Security Module (LSM) di kernel.org.

namespaces Linux membungkus sumber daya sistem global dalam abstraksi yang membuatnya tampak pada proses dalam namespace bahwa mereka memiliki instansi terisolasi mereka sendiri dari sumber daya global. Perubahan pada sumber daya global terlihat oleh proses lain yang merupakan anggota ruang nama, tetapi tidak terlihat oleh proses lain. Sejak kernel versi 5.6, ada 8 jenis namespace (lihat namespaces(7), unshare(1), nsenter(1)).

Pada Debian 11 Bullseye (2021), Debian menggunakan hirarki cgroup terpadu (alias cgroups-v2).

Contoh penggunaan namespaces dengan cgroup untuk mengisolasi proses mereka dan untuk memungkinkan kontrol sumber daya adalah:

Fungsi-fungsi ini tidak dapat direalisasikan oleh Bagian 4.1, “Autentikasi Unix normal”. Topik-topik tingkat lanjut ini sebagian besar di luar cakupan untuk dokumen pengantar ini.