Nouvelle version de Linux PAM

Posté par  . Modéré par Jaimé Ragnagna.
Étiquettes :
0
1
avr.
2005
Sécurité
Linux PAM, le système d'authentification pour Linux, est sorti avec en version 0.79.

Elle apporte, en plus de la correction de nombreux bugs, le support des limitations du noyau 2.6 dans le module pam_limits, ainsi qu'un support expérimental du système de détection d'intrusions Prelude IDS, qui permet à Linux PAM d'agir comme une sonde pour rapporter des alertes à Prelude à chaque fois qu'un utilisateur est appelé à s'authentifier. Linux PAM, PAM pour Pluggable Authentication Modules, est le système d'authentification de choix pour Linux.

C'est un projet qui permet, entre autres, de décentraliser l'authentification, de s'authentifier autrement qu'avec les classiques /etc/passwd|group|shadow : sans mot de passe, avec votre voix, votre clef usb, vos empreintes digitales, sur une base SQL, sur un annuaire LDAP, etc. Il permet aussi de définir toutes sortes de contraintes (comme par exemple l'interdiction d'accès à une personne ou groupe à une certaine heure), ou encore de monter un répertoire distant SMB sur votre home local, etc. Les exemples sont nombreux !

Prelude IDS est un système de détection d'intrusions hybride, permettant à n'importe quel type de sonde (outils de sécurité en général, mais il serait possible de transformer votre machine à café) de relayer les informations au format standard IDMEF. Prewikka (le frontend Prelude) peut être utilisé pour visualiser tous les évènements de ces sondes.

Grâce à cette nouvelle version, en plus des bugs corrigés, vous allez pouvoir détecter tout type de connexion malveillante (ou non) sur votre/vos ordinateur(s).

Aller plus loin

  • # Poisson ou pas poisson ?

    Posté par  . Évalué à 4.

    En ces temps de poissons de tous bords, on en vient à se demander si c'est du bar ou du huchon...

  • # ha ha ha trop drole !

    Posté par  (site web personnel) . Évalué à 4.

    heu .. en fait je l'ai pas compris ...

  • # Ha ha ha

    Posté par  . Évalué à 2.

    Elle apporte [...] la correction de nombreux bugs, le support [...] du noyau 2.6 [...], ainsi qu'un support [...] de [...] Prelude IDS

    Déjà le titre me semblait louche, mais là le pot aux roses est découvert. Tros gros ... passera pas ! En tout cas, bravo pour l'ingéniosité de blagues et l'indéniable sens du comique de répétition dont fait preuve cet article de 1er avril !
    ;-)

    • [^] # Re: Ha ha ha

      Posté par  . Évalué à -1.

      Heureusement que t'es là, j'ai failli accèpter une mise à jour de PAM version la version 0.79.

      Merci beaucoup.

      PS : franchement, les poissons d'avril ça va trop loin. On ne plaisante pas avec la sécurité.

    • [^] # Re: Ha ha ha

      Posté par  . Évalué à 10.

      ouais, pas mal !
      ...
      euh...
      ...
      sûr que c'est une blague ?...
      ...
      bon, ok, j'aime bien me couvrir de ridicule mais il y a effectivement plusieurs fichiers source qui génèrent des logs avec des "Prelude" partout
      ....
      et puis, je n'ai pas vu les modifs sur pam_limits mais le cvs montre des changements récents...
      ...
      ...
      bon, je parie que c'est pas une blague et j'essaie.
      10h45 : ça compile
      10h52 : c'est installé
      10h53 : je reboot (vieille habitude :-)
      11h30 : fini de rebooter (ouaip, vieille bécane aussi)
      11h31 : ben ça a l'air de marc[PRELUDE ALERT] it seems you're posting on linuxfr.
      [PRELUDE ALERT] this practice is dangerous for your neurons and we are going to cut it.
      [PRELUDE ALERT] Asimov mode stand-by.

      • [^] # Re: Ha ha ha

        Posté par  (site web personnel) . Évalué à 2.

        Personnelement je ne crois vraiment pas que ce soit un blague.

        D'où mon commentaire plus haut, mais bon l'humour est souvent la chose la plus difficile à partager :)

        On peut rire de tout mais pas avec tout le monde

  • # Une idée, comme ça

    Posté par  . Évalué à 2.

    J'ai une petite idée de projet, qui devrait être assez sympa à faire avec PAM.
    Ce serait un nouveau mode d'authentification pour gérer un serveur. Trop lourd pour une station de travail.

    Il s'agirait d'utiliser son téléphone portable pour s'identifier. Je m'explique :
    0. état initial, le compte root est désactivé par pam.
    1. Vous vous connectez sur votre serveur ( en www, ou mieux encore en wap par exemple... )
    2. Il vous envoie, ( par SMS ? ) une clé d'identification qu'il vient de générer, vous avez un temps prédéfini pour vous connecter ( par exemple 3 minutes )
    3. À la fin de la session, le compte est à nouveau désactivé.
    --
    Savez-vous si il existe des projets similaires ( authentification avec portable ) ?

    • [^] # Re: Une idée, comme ça

      Posté par  . Évalué à 2.

      oui, id-tronic, un systeme de paiement en ligne, fonctionne comme ca
      http://www.idtronic.com/(...)

    • [^] # Re: Une idée, comme ça

      Posté par  . Évalué à 3.

      tu fais comment pour te logguer si le reseau tombe ?
      Et tu peux pas le reactiver manuellement puisque tu peux pas passer root...

      • [^] # Re: Une idée, comme ça

        Posté par  . Évalué à 1.

        > tu fais comment pour te logguer si le reseau tombe ?
        bonne question, à creuser.
        > Et tu peux pas le reactiver manuellement puisque tu peux pas passer root...
        idem.
        On pourrait utiliser ce système uniquement pour un accès distant ssh. L'accès local via console reste dispo.
        C'est pas trop mal comme sécurité supplémentaire, non ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.