bye-bye pam_unix_auth

AngelD angeld en froga.net
Jue Jun 17 18:18:13 CLT 2010 

El Thu, 17 Jun 2010 10:55:11 -0400
Victor Hugo dos Santos <listas.vhs en gmail.com> escribió:

> Hola,
> 
> estoy realizando pruebas de actualización de algunos servidores ubuntu
> (para la versión 10.04).. y me encuentro con esta informacion en los
> changelogs de libpam-modules
> 
> ===================
> pam (1.1.0-3) unstable; urgency=low
>   * Drop the /lib/security/pam_unix_*.so symlinks, which have been
> deprecated now for 10 years and are not used at all if
> pam-auth-update is in play. ===================
> 
> por lo que entiendo.. todos los enlaces simbólicos
>       /lib/security/pam_unix.so
>       /lib/security/pam_unix_acct.so
>       /lib/security/pam_unix_auth.so
>       /lib/security/pam_unix_passwd.so
>       /lib/security/pam_unix_session.so
> fueron eliminados y ahora todas las funciones/características están
> centralizadas en el pam_unix.so (bueno, supongo que ya estaban desde
> antes).

	Vale, eliminan TODO lo que no sea 'pam_unix.so', porque este lo
es TODO.

> el tema es que tengo un par de sistemas, donde encuentro estas lineas:
> ========================
> /etc/pam.d/common-auth
>       auth     sufficient     pam_unix.so
>       auth     sufficient     pam_ldap.so try_first_pass
>       auth     required       pam_env.so
>       auth     required       pam_securetty.so
>       auth     required       pam_unix_auth.so
>       auth     required       pam_warn.so
>       auth     required       pam_deny.so
> ========================
> 
> por lo que entiendo, el "pam_unix_auth.so" es redundante correcto ??
> por que a principio se indica que es "suficiente" con la autenticacion
> por unix y/o ldap.
> del mismo modo que seria redundante para:
> 
>      session required pam_unix.so
>      session required pam_unix_session.so
> 
> yo creo que si, pero el tema, no me queda del todo claro, por que
> acabo de revisar en internet y en muchas partes (documentos,
> tutoriales, etc,etc).. se recomienda utilizar el pam_unix.so y el
> pam_unix_auth.so.... así, que imagino que como siempre, no estoy
> entendiendo bien.

	Sip, es rebundante. O dejas, en los sistemas donde tengas estos
ficheros de configuración, los enlaces desde 'pam_unix*.so' a
'pam_unix.so' o eliminas estas líneas.

	En un Debian 'Squeeze', no existen variaciones de
'pam_unix.so', ni referencias en '/etc/pam.d', y por lo tanto, tampoco
existen los enlaces correspondientes en '/lib/security/'.

	En un Debian 'Lenny', existen los enlaces simbólicos
en '/lib/security/', pero no existen referencias a los mismos en
'/etc/pam.d'.

	Resumiendo, si tienes sistemas muy viejos que vayas a migrar a
versiones nuevas, o realizas los enlaces simbólicos a 'pam_unix.so':

 $ ls -al /lib/security/pam_unix*
  lrwxrwxrwx 1 root root    11 2009-07-05
20:57 /lib/security/pam_unix_acct.so -> pam_unix.so
  lrwxrwxrwx 1 root
root    11 2009-07-05 20:57 /lib/security/pam_unix_auth.so ->
pam_unix.so 
  lrwxrwxrwx 1 root root    11 2009-07-05
20:57 /lib/security/pam_unix_passwd.so -> pam_unix.so 
  lrwxrwxrwx 1 root
root    11 2009-07-05 20:57 /lib/security/pam_unix_session.so ->
pam_unix.so -rw-r--r-- 1 root root 47884 2009-03-18
01:03 /lib/security/pam_unix.so

	O modificas los ficheros '/etc/pam.d/*' y similares que hagan
referencias a estos módulos.

	Personalmente modificaría los ficheros de configuración para
que futuras versiones funcionen si los enlaces simbólicos referidos.

	Saludos --- Angel

Más información sobre la lista de distribución Linux