9月14日 PAM认证机制

1、PAM认证原理和过程

  • 原理:PAM认证首先要确定那一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证模块文件(位于/lib/security/pam_*.so下),进行安全认证。
  • 过程:
    1.使用者执行/usr/bin/passwd程序,并输入密码
    2.passwd开始呼叫PAM模块,PAM模块会搜寻passwd程序的PAM相关设定的配置文件,这个设定配置文件一般是在/etc/pam.d/里边的与程序同名的文件,即PAM会搜寻/etc/pam.d/passwd这个设置文件
    3.经由/etc/pam.d/passwd设定配置文件的数据,取用PAM所提供的相关模块(在/lib/security/pam_*.so下)来进行验证
    4.将验证结果回传给passwd这个程序,而passwd这个程序会根据PAM回传的结果决定下一个动作(重新输入密码或者通过验证)

2、PAM相关文件

模块文件目录:/lib64/security/.so
环境相关的设置:/etc/security/
.conf ---有些模块的配置文件不在/etc/pam.d目录,比如 pam_time.so模块,它的配置文件就存放在这个目录下,而不是/etc/pam.d目录下。/etc/pam.d目录下存放的一般都是各种程序和服务的配置文件,而不是单独的模块。
主配置文件:/etc/pam.conf,默认不存在
为每种应用模块提供一个专用的配置文件:/etc/pam.d/APP_NAME,也就是各种服务的配置文件
注意:如/etc/pam.d存在,/etc/pam.conf将失效

3、配置文件格式说明

通用配置文件/etc/pam.conf格式---不建议使用,给sudo和cron一样,建议写到独立的配置文件中
application type control module-path arguments
专用配置文件/etc/pam.d/*格式
type control module-path arguments
格式说明:
服务名(application)
telnet、login、ftp等,服务名字“OTHER”代表所有没有在该文件中明确配置的其它服务
type :模块类型(module-type)
control: PAM库该如何处理与该服务相关的PAM模块的成功或失败情况
module-path: 用来指明本模块对应的程序文件的路径名
Arguments: 用来传递给该模块的参数
模块类型(module-type)
Auth 账号的认证和授权
Account 与账号管理相关的非认证类的功能,如:用来限制/允许用户对某个服务的访问时间,当前有效的系统资源(最多可以有多少个用户),限制用户的位置(例如:root用户只能从控制台登录)
Password 用户修改密码时密码复杂度检查机制等功能
Session 用户获取到服务之前或使用服务完成之后需要进行一些附加的操作,如:记录打开/关闭数据的信息,监视目录等
-type 表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用
Control:
PAM库如何处理与该服务相关的PAM模块成功或失败情况
两种方式实现:
简单和复杂
简单方式实现:一个关健词实现
required :一票否决,表示本模块必须返回成功才能通过认证,但是如果该模块返回失败,失败结果也不会立即通知用户,而是要等到同一type中的所有模块全部执行完毕再将失败结果返回给应用程序。即为必要条件
requisite :一票否决,该模块必须返回成功才能通过认证,但是一旦该模块返回失败,将不再执行同一type内的任何模块,而是直接将控制权返回给应用程序。是一个必要条件
sufficient :一票通过,表明本模块返回成功则通过身份认证的要求,不必再执行同一type内的其它模块,但如果本模块返回失败可忽略,即为充分条件
optional :表明本模块是可选的,它的成功与否不会对身份认证起关键作用,其返回值一般被忽略
include:调用其他的配置文件中定义的配置信息
复杂详细实现:使用一个或多个“status=action”
[status1=action1 status2=action …]
Status:检查结果的返回状态
Action:采取行为ok,done,die,bad,ignore,reset
ok 模块通过,继续检查
done 模块通过,返回最后结果给应用
bad 结果失败,继续检查
die 结果失败,返回失败结果给应用
ignore 结果忽略,不影响最后结果
reset 忽略已经得到的结果
module-path: 模块路径
相对路径:
/lib64/security目录下的模块可使用相对路径
如:pam_shells.so、pam_limits.so
绝对路径:如果不在/lib64/security目录下,要写上绝对路径
模块通过读取配置文件完成用户对系统资源的使用控制
注意:修改PAM配置文件将马上生效
建议:编辑pam规则时,保持至少打开一个root会话,以防止root身份验证错误
Arguments 用来传递给该模块的参数

4、pam的帮助信息

/user/share/doc/pam-*
rpm -qd pam ---查找pam包都生成哪些文档
man –k pam_
man 模块名如man rootok
《The Linux-PAM System Administrators' Guide》

5、实验

示例1
模块:pam_shells
功能:检查有效shell
man pam_shells
示例:不允许使用/bin/csh的用户本地登录
vim /etc/pam.d/login
auth required  pam_shells.so
vim /etc/shells
去掉/bin/csh
useradd–s /bin/csh testuser
testuser将不可登录
tail /var/log/secure
示例2
模块:pam_securetty.so
功能:只允许root用户在/etc/securetty列出的安全终端上登陆
示例:允许root在telnet登陆
vim /etc/pam.d/remote(这个是跟远程登录有关的模块的配置文件)
#auth required pam_securetty.so #将这一行加上注释
或者/etc/securetty文件中加入
pts/0,pts/1…pts/n
示例3
模块:pam_nologin.so
功能:如果/etc/nologin文件存在,将导致非root用户不能登陆,如果
用户shell是/sbin/nologin 时,当该用户登陆时,会显
示/etc/nologin.txt文件内容,并拒绝登陆

6、pam_limits.so模块

功能:在用户级别实现对其可使用的资源的限制,例如:可打开的文件数量,可运行的进程数量,可用内存空间
修改限制的实现方式:
(1) ulimit命令,立即生效,但无法保存
-n 最多的打开的文件描述符个数
-u 最大用户进程数
-S 使用soft(软)资源限制
-H 使用hard(硬)资源限制
(2) 配置文件:/etc/security/limits.conf, /etc/security/limits.d/.conf前面的是总的配置文件,可以把文件写到后面的目录里,只要格式跟前面的相同就可以
配置文件:每行一个定义;

应用于哪些对象
Username 单个用户
@group 组内所有用户
所有用户
限制的类型
Soft 软限制,普通用户自己可以修改
Hard 硬限制,由root用户设定,且通过kernel强制生效
-二者同时限定
限制的资源
nofile 所能够同时打开的最大文件数量,默认为1024
nproc 所能够同时运行的进程的最大数量,默认为1024
指定具体值
示例

限制用户最多打开的文件数和运行进程数
/etc/pam.d/system-auth
session required pam_limits.so
vim /etc/security/limits.conf
apache – nofile10240 apache用户可打开10240个文件
student hard nproc20 不能运行超过20个进程

你可能感兴趣的:(9月14日 PAM认证机制)