>> Часто слышу высказывание «PAM — решето!»

Странно, впервые слышу.

Который именно PAM?

Что есть PAM? )

Pluggable Authentication Modules

Эээ, а в линуксах есть более одного пама? Допустим, вся свалка, которую можно подчерпнуть из репозитория. Особливо kerberos и radius.

Pluggable Authentication Modules
:)

> Часто слышу высказывание «PAM — решето!»

От кого? И в связи с чем?

Соответствует ли это действительности?

Всё зависит не от самого механизма, а от конкретных модулей. Если конкретный модуль - решето, то причем тут PAM?

Например если есть Linux сервер, в нем web service, в нем php, и web приложение на php с ОГРОМНОЙ ДЫРКОЙ. Значит ли это, что Linux - решето?

из модулей, которыми пользовались лоровцы и поимели баттхерт

Суть такова

Есть одна маленькая школа.
Нужно запилить в ней линукс-сервер.

Сервер будет раздавать всем лимитированный интернет, почту, веб-сервер, файлопомойку, хранилище для 1С, ssh с хомячками, и много другое (тм).
Так как линуксу никто не верит и считает какой-то дырявой неюзабельной шнягой, авторизация должна будет проходить через Windows Server 2008 R2 с поднятым Адом.

Машина подо всю эту радость будет выдана всего одна. Не хотелось бы, чтобы Вася из класса 8Б, обиженный 100 мегабатами вайфая в день, погуглив две минуты сайтики с эксплоитами смог бы развалить к чертям пряничный домик, выложив в бложик финансовые махинации руководства школы за последние 10 лет.

Да, это так, PAM — решето. Стоит написать в /etc/pam.d/ssh и /etc/pam.d/login

auth     sufficient     pam_permit.so
account  sufficient     pam_permit.so
password sufficient     pam_permit.so
session  sufficient     pam_permit.so

и шансы что систему поимеют сильно возрастают

А зачем это писать?

Ну, PAM же надо настраивать.

> Ну, PAM же надо настраивать.

А секьюрно настроить нереально?

Гугль по запросу PAM решето первой ссылкой ведёт сюда, остальное мусор.

какие-то у тебя странные отзывы про пам... почему же его до сих пор не выпилили изо всех дистров, если он дыряв? ;)

вобщем, смотри: ставишь на линуксы likewiseopen, и всё более-менее шоколадно. интеграция с адом, так сказать.. %)

Так как линуксу никто не верит и считает какой-то дырявой неюзабельной шнягой
Пускай попробуют обосновать, вы аккуратно запишите обоснование, и потом выложите в Толксах. Будет срач на 150+ постов, как timur_dav и заказывал.

почему же его до сих пор не выпилили изо всех дистров, если он дыряв? ;)

И причём не только из линуксов, но и из других unix-подобных систем и даже unix'ов =).

«Это все придумал Патрик в 18-ом году»

Кусок чейнчлога к слаке 9.1

I think a better name for PAM might be SCAM, for Swiss Cheese Authentication Modules, and have never felt that the small amount of convenience it provides is worth the great loss of system security. We miss out on half a dozen security problems a year by not using PAM, but you can always install it yourself if you feel that you're missing out on the fun. (No, don't do that)

Если не нравится конкретный модуль PAM, напиши свой. Я, например, уже написал. А в самой системе я не вижу каких-либо серьёзных дефектов.

Причем тут pam (?!), если у тебя может оказаться сервер с кучей сервисов для которых есть готовые экспойты в свободном доступе, что ты к PAM'у то привязался?

мда... тяжелый случай. вообще PAM + политики SELinux - отличный уровень безопасности. Хотя да, зависит в первую очередь от настроек, а уж потом от модулей. Да и не забыть, главное, остальное. А то, можно настроить PAM, grsec, selinux, etc и оставить дырявый sendmail, например. К этому делу надо подходить комплексно.