pam_authenticate()
ユーザーのアイデンティティを定期的に確認する必要があるプロセス(callなど)を作成しています。セキュリティ上の理由から、このプロセスを権限で実行したくありませんroot
。他のセキュリティ要件に使用できます(たとえば、使用できるようにポートcapabilities(7)
にバインドする必要があります)。HTTPS
CAP_NET_BIND_SERVICE
ルート権限から始めて一時的に削除し、要求されたときにのみ権限を昇格してpam_authenticate
から再度削除できます。しかし、権限を昇格する能力が残っている限り、これは実際にはあいまいなセキュリティです。プロセスを制御する攻撃者が権限を昇格できるためです。
PAM
使用されている特定のモジュールによってセキュリティ制限が発生しましたか?パスワードファイルをpam_unix.so
読む必要があるだけで問題が発生しますか?shadow