M25-10
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了M25-10相关的知识,希望对你有一定的参考价值。
懒人少语之第十周 ??PAM认证机制
`认证框架,可用于开发` 实现身份验证,用户的身份验证,服务的身份验证等. User => PAM会话例 => PAM-API 用户需要做好API的开发接口,由管理员来控制配置数据与PAM服务模块进行操作 PAM服务模块 => PAM-SPI (PAM开发人员来创建) 认证管理模块; 帐号管理模块; 会话管理模块; 口令管理模块 每个用户可以对其做独立的认证 PAM认证: Service(服务/记录的pam信息)->PAM(配置文件/管理员定义了各种规则)->pam_*.so(库文件/直接调用pam) PAM认证首先要确定那一项服务, 然后加载相应的PAM的配置文件(位于/etc/pam.d下), 最后调用认证文件(位于/lib/security下)进行安全认证 man 8 pam_time Linux-PAM_SAG.pdf `PAM手册.pdf` pam文档说明 /user/share/doc/pam-* rpm -qd pam `所有pam手册` man –k pam_* man 模块名 `man rootok` 《The Linux-PAM System Administrators‘ Guide》 ??PAM相关文件 模块文件目录() /lib64/security/*.so pam_selinux.so `selinux相关的` pam_rootok.so `root相关的` pam_access.so `库文件` ... 环境相关的设置() /etc/security/ `仅部分,非全部所需` access.conf `access的库文件的配置文件` 主配置文件: /etc/pam.conf `默认不存在` 为每种应用模块提供一个专用的配置文件: /etc/pam.d/APP_NAME `有刚需的情况下则用该目录对应的配置` 用户使用某个独立的应用程序需要pam的文件的命令,会调用这个文件, 需要根据这个配置文件来提供操作 注意:如/etc/pam.d存在,/etc/pam.conf将失效 `应用模块存在,则主配置文件失效` ??通用/主配置文件`/etc/pam.conf`格式,不推荐修改 application type control module-path arguments application `应用程序` 正因为有了/etc/pam.d/app_name应用程序所以才不需要在主配置上修改整理了. type `类型` control `控制规则` module-path `路径` arguments `参数` ??专用配置文件`/etc/pam.d/*`格式 `立即生效` type control module-path arguments type `类型` control `控制规则` module-path `路径` arguments `参数` 参考??说明???? ??PAM认证过程:`假若用了passwd模块` 1.使用者执行/usr/bin/passwd程序,并输入密码 使用激活;/etc/pam.d/passwd() 2.passwd开始呼叫PAM模块,PAM模块会搜寻passwd程序的PAM相关设定文件,这个设定文件一般是在/etc/pam.d/里边的与程序同名的文件,即PAM会搜寻/etc/pam.d/passwd这个设置文件 唤醒PAM;里边包括pam_gnome_keyring.so库文件,所以会根据配置文件去调用该库() 3.经由/etc/pam.d/passwd设定文件的数据,取用PAM所提供的相关模块来进行验证 类型选择;`Auth|Account|Password|Session|-type等` 4.将验证结果回传给passwd这个程序,而passwd这个程序会根据PAM回传的结果决定下一个动作(重新输入密码或者通过验证) 控制规则;`required|requisite|sufficient|optional|include等` ??说明: /etc/pam.d/服务名(application) telnet、login、ftp等,服务名字;"OTHER"代表所有没有在该文件中明确配置的其它服务 ?模块类型(module-type)`根据不同的 /etc/pam.d/ 下模块有不同的功能项` Auth `是否为有效帐号/身份验证`账号的认证和授权 Account `验证帐号是否有效`与账号管理相关的非认证类的功能,如:用来限制/允许用户对某个服务的访问时间,当前有效的系统资源(最多可以有多少个用户),限制用户的位置(例如:root用户只能从控制台登录) Password `密码复杂度`用户修改密码时密码复杂度检查机制等功能 Session `用户在服务之前之后的操作`用户获取到服务之前或使用服务完成之后需要进行一些附加的操作,如:记录打开/关闭数据的信息,监视目录等 -type `带-的模块为无问题,表示模块非必要`表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用 ... ?控制规则(control) PAM库该如何处理与该服务相关的PAM模块的成功或失败情况 `上下关系,先看上再判断下Control` 根据不同的关键词`required/optional/include`等等有不同的操作功能 required 表示一票拒绝,全部拒绝,`不会立即通知,等同一type中的所有模块finsh后再将失败返回给应用程序` 假若这次成功了,还需检查后续Control,`并没有一票成功权` requisite 表示一票否决,`一次性,失败了全部失败,不再后续检查` 假若这次成功了,还需检查后续Control,`并没有一票成功权` sufficient 表示一票通过,`一个返回成功则全部直接成功` optional 表示可选,不会起关键作用,返回值可忽略 include 调用其它配置文件中定义的配置 ?路径(module-path) 用来指明本模块对应的程序文件的路径名 相对路径: /lib64/security目录下的模块可使用相对路径 如:pam_shells.so、pam_limits.so 绝对路径: 模块通过读取配置文件完成用户对系统资源的使用控制() /etc/security/*.conf 注意:修改PAM配置文件将马上生效() 建议:编辑pam规则时,保持至少打开一个root会话,以防止root身份验证错误() ?参数(Arguments) 用来传递给该模块的参数 根据传进的参数不同,而操作即不同 比如你可以这样: auth required /lib/security/pam_securetty.so auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_ldap.so auth required /lib/security/pam_unix.so try_first_pass ... ??第一条pam_securetty.so模块检查它配置文件/etc/的安全性,并查看是否能使用该 登录终端列出,如果不是就拒绝root登录.但由于失败了会根据规则required来继续后续 工作,即为将所有模块调用了(即便成功一些)最终还是登录失败. ??第二条pam_env.so模块基于管理员在/etc/security/pam_env.conf下设定的环境变量中, 该模块并非真的设置任何变量,只不过这么做是为了使用户通过SSH后有环境变量, 后续则不需用户自己再设置 ??第三条pam_ldap.so模块提示用户输入密码,后检查在/etc/ldap.conf中的目录进行身份验证, 若失败后执行pam_unix依旧成功,那么操作结果仍然当作成功.若一开始的pam_ldap成功了 则后边的pam_unix将不会被调用 `这是sufficient的功效` ??第四条pam_unix.so try_first_pass;当pam_unix不提示用户使用密码时,则try_first_pass 告诉模块使用前一个模块给出的密码(pam_ldap),并登录,而当登录系统调用身份验证失败后, 就意味pam_unix的失败会导致pam_ldap一并失败.若成功了,那么操作则成功 auth为是否为有效帐号/身份验证() ?例子: 在/etc/pam.d/sshd下添加 auth required pam_shells.so `则表示会验证shells库的安全策略`通过检查sshd下有没有符合pam_shells规则 pam_shells.so `检查该/etc/shells里是否包含你用户用sshd登录的shell环境,不包含则拒绝登录` 如果用户shell在/etc中列出,它就允许访问系统() 在/etc/pam.d/su下添加 auth required pam_shells.so `则表示使用su切换观察shells的策略` ??例子解释: 模块:pam_shells 功能:检查有效shell man pam_shells 示例:不允许使用/bin/csh的用户本地登录 vim /etc/pam.d/login auth required pam_shells.so vim /etc/shells 去掉/bin/csh useradd –s /bin/csh testuser testuser将不可登录 tail /var/log/secure ??例子2: 模块:pam_securetty.so `针对root可登录的终端环境有哪些` 功能:只允许root用户在/etc/securetty列出的安全终端上登陆 `指定用户在某个终端登录` 示例:允许root在telnet登陆 vim /etc/pam.d/login #auth required pam_securetty.so #将这一行加上注释 或者/etc/securetty文件中加入 pts/0,pts/1…pts/n ??例子3: 模块:pam_nologin.so `非管理员不能登录,shell为nologin的用户显示提示并否决登录` 功能:如果/etc/nologin文件存在,将导致非root用户不能登陆, 如果用户shell是/sbin/nologin 时,当该用户登陆时, 会显示/etc/nologin.txt文件内容,并拒绝登陆 echo you login err > /etc/nologin `拒绝登录的会有该添加的提示` `指定文件nologin不可登陆的shell` account required pam_nologin.so `某服务用了该模块普通用户则将无法登录` account required pam_nologin.so file=/app/nologin.txt `指定文件` nologin.txt添加No_login文字,若在su服务下添加该模块后,则无法使用su切换登录并提示No_login文字() ??例子4: 模块:pam_limits.so `控制用户使用的资源` 功能:在用户级别实现对其可使用的资源的限制,例如:可打开的文件数量,可运行的进程数量,可用内存空间 修改限制的实现方式: (1) ??ulimit命令,立即生效,但无法保存,当前shell生效 `内部命令,不同的shell有不同的控制` https://www.ibm.com/developerworks/cn/linux/l-cn-ulimit/ -a 显示所有控制;显示当前资源限制设定 core file size (blocks, -c) 0 `设定core文件最大值,单位/区块` data seg size (kbytes, -d) unlimited `程序数据节区最大值,单位/kb` scheduling priority (-e) 0 `调度优先级` file size (blocks, -f) unlimited `文件大小,shell能建立的最大文件,单位/区块` pending signals (-i) 3791 `当前待处理的信号` max locked memory (kbytes, -l) 64 `最大任务锁住的物理内存大小,单位/kb` max memory size (kbytes, -m) unlimited `单个任务最大常驻物理内存大小,单位/kb` open files (-n) 1024 `一个任务最多同时打开文件数量/支持打开文件的个数/最大文件描述符数量` pipe size (512 bytes, -p) 8 `管道最大空间/管道缓冲区大小,单位/kb` POSIX message queues (bytes, -q) 819200 `支持最大POSIX消息队列` real-time priority (-r) 0 stack size (kbytes, -s) 8192 `进程栈最大值,单位/kb` cpu time (seconds, -t) unlimited `进程使用的cpu时间` max user processes (-u) 3791 `最大的所有用户进程数,有时候只小不大` virtual memory (kbytes, -v) unlimited `进程的最大地址空间` file locks (-x) unlimited `锁住文件最大个数` -n `设置最多的打开的文件描述符个数` -u `最大用户进程数` -S `使用soft(软)资源限制` `非强制性,设置可增加,但不超过硬资源` ulimit -Sn 32 `32个文件描述符` -H `使用hard(硬)资源限制` `强制性,一旦设置不能增加` ulimit -Hs 64 `线程栈大小为64K` (2) 配置文件:/etc/security/limits.conf `针对自己的配置文件,修改后永久生效` /etc/security/limits.d/*.conf 配置文件:每行一个定义; <domain> <type> <item> <value> <domain> `user; @group(组); *(所有用户); %group(组); ` <type> `指定类型,软,硬,- ... Soft(软限制); Hart(硬限制); -(软硬限制)` <item> `nofile(最大文件数量); nproc(最大进程数量); 内核;数据;大小;文件个数;内存;进程;地址空间;用户|系统最大登录次数;记录日志;nice;实时优先级` <value> `指定具体值,数字` 如: @student hard nproc 20 @sutdent -(包含软硬) maxlogins 4 wang hard nproc(进程) 10 `wang用户最多能用的进程数限制为10个` Resource temporarily 复杂详细实现:使用一个或多个“status=action” [status1=action1 status2=action …] Status: 检查结果的返回状态 Action: 采取行为ok,done,die,bad,ignore,reset ok 模块通过,继续检查 done 模块通过,返回最后结果给应用 bad 结果失败,继续检查 die 结果失败,返回失败结果给应用 ignore 结果忽略,不影响最后结果 reset 忽略已经得到的结果
以上是关于M25-10的主要内容,如果未能解决你的问题,请参考以下文章