PAM认证机制

Posted 2020-10-07

PAM认证机制

---

PAM:Pluggable Authentication Modules

认证库：文本文件，mysql，NIS，LDAP等

PAM 是关注如何为服务验证用户的API，通过提供一些动态链接库和一套统一的API，将系统提供的服务和该服务的认证方式分开

使得系统管理员可以灵活地根据需要给不同的服务配置不 同的认证方式而无需更改服务程序

它提供了对所有服务进行认证的中央机制，适用于login，远 程登录（telnet,rlogin,fsh,ftp,点对点协议（PPP）），su等 应用程序中。系统管理员通过PAM配置文件来制定不同应用 程序的不同认证策略；应用程序开发者通过在服务程序中使 用PAM API(pam_xxxx( ))来实现对认证方法的调用；而 PAM服务模块的开发者则利用PAM SPI来编写模块（主要是 引出一些函数pam_sm_xxxx( )供PAM接口库调用），将不 同的认证机制加入到系统中；PAM接口库（libpam）则读取 配置文件，将应用程序和相应的PAM服务模块联系起来。

PAM架构

---

       

PAM认证原理

---

1、PAM认证一般遵循这样的顺序：Service(服务)→PAM(配置文 件)→pam_*.so

2、PAM认证首先要确定那一项服务，然后加载相应的PAM的配 置文件(位于/etc/pam.d下)，最后调用认证文件(位于 /lib/security下)进行安全认

PAM相关文件 

模块文件目录：/lib64/security/*.so 

环境相关的设置：/etc/security/ 

主配置文件:/etc/pam.conf，默认不存在 

为每种应用模块提供一个专用的配置文件： /etc/pam.d/APP_NAME ü

注意：如/etc/pam.d存在，/etc/pam.conf将失效

PAM认证过程：

1.使用者执行/usr/bin/passwd 程序，并输入密码

2.passwd开始呼叫PAM模块，PAM模块会搜寻passwd程序的 PAM相关设定文件，这个设定文件一般是在/etc/pam.d/里边的与程序同名的文件，即PAM会搜寻/etc/pam.d/passwd 这个设置文件

3.经由/etc/pam.d/passwd设定文件的数据，取用PAM所提 供的相关模块来进行验证

4.将验证结果回传给passwd这个程序，而passwd这个程序会 根据PAM回传的结果决定下一个动作（重新输入密码或者通 过验证）

通用配置文件/etc/pam.conf格式 

application type control module-path arguments 

专用配置文件/etc/pam.d/* 格式

type  control  module-path  arguments 

说明： 

服务名（application） telnet、login、ftp等，服务名字“OTHER”代表所有没 有在该文件中明确配置的其它服务 

模块类型（module-type） 

control PAM库该如何处理与该服务相关的PAM模块的成 功或失败情况 ü module-path 用来指明本模块对应的程序文件的路径名 

Arguments 用来传递给该模块的参数

模块类型（module-type） 

Auth 账号的认证和授权 

Account 与账号管理相关的非认证类的功能，如：用来限 制/允许用户对某个服务的访问时间，当前有效的系统资源 (最多可以有多少个用户)，限制用户的位置(例如：root用 户只能从控制台登录) 

Password 用户修改密码时密码复杂度检查机制等功能 

Session 用户获取到服务之前或使用服务完成之后需要进 行一些附加的操作，如：记录打开/关闭数据的信息，监视 目录等 

-type 表示因为缺失而不能加载的模块将不记录到系统日 志,对于那些不总是安装在系统上的模块有用

Control: 

PAM库如何处理与该服务相关的PAM模块成功或失败情况 

两种方式实现：简单和复杂 

简单方式实现：一个关健词实现 

required ：一票否决，表示本模块必须返回成功才能通过认证，但是如果该模块返回失败，失败结果也不会立即通知用户，而是要等到同一type中的所有模块全部执行完毕 再将失败结果返回给应用程序。即为必要条件

requisite ：一票否决，该模块必须返回成功才能通过认证， 但是一旦该模块返回失败，将不再执行同一type内的任何模 块，而是直接将控制权返回给应用程序。是一个必要条件 

sufficient ：一票通过，表明本模块返回成功则通过身份认 证的要求，不必再执行同一type内的其它模块，但如果本模 块返回失败可忽略，即为充分条件 

optional ：表明本模块是可选的，它的成功与否不会对身份 认证起关键作用，其返回值一般被忽略 

include： 调用其他的配置文件中定义的配置信息

比如我们查看一下/etc/pam.d中的一个配置文件，第一列就是模块的类型，第二列就是control，第三列就是我们所要调用的库，有些文件的配置格式中只有这三项，但是有些文件是四项。

module-path: 模块路径

  相对路径：

/lib64/security目录下的模块可使用相对路径

如：pam_shells.so、pam_limits.so

绝对路径： 

模块通过读取配置文件完成用户对系统资源的使用控制

/etc/security/*.conf 

注意：修改PAM配置文件将马上生效 

建议：编辑pam规则时，保持至少打开一个root会话，以防止 root身份验证错误 

Arguments 用来传递给该模块的参数

模块：pam_shells 

功能：检查有效shell

如果修改vim /etc/pam.d/login只要和登陆相关的程序都受影响，因为用户一登陆就会调用这个login程序

如果只修改vim /etc/pam.d/sshd这个配置文件，那就只会影响ssh的连接

实验

---

1、创建一个用户并且这个用户的shells类型是/bin/csh

useradd -s /bin/csh test

可以在查看一下/etc/passwd是否设置正确

2、在/etc/shells中删除/bin/csh这一行

3、然后在其他主机试着用ssh连接这个用户，注意，必须是连接这个用户，因为只是修改了这个用户的shells

看见如上字样那就说明我们的实验是成功的，因为在172.18.77.7这台主机上设置了sshd这个服务，且在/etc/pam.d/sshd中定义了用户用sshd连接是检查shells的类型。（调用了pam_shells.so这个库）这个库的作用就是检查/etc/shells这个文件中有没有对应的shells类型，没有/bin/sch这样的shells类型就会拒绝。

现在在尝试做另一个小实验修改vim /etc/pam.d/login文件，将同样的设置放在这个配置文件中

切换普通用户登录，依然会登上去，因为可能没有调用login程序

采用本地登录的方式就会看到明显的效果了，如下图所示

两个小实验已经做完了，收获不小吧！还可以查看日志cat /var/log/secure

如果还不明白，也可以将上述设置放入到/etc/pam.dsu这个文件里，看看效果

可以直接切换用户就可以看到明显的效果

模块：pam_securetty.so v

功能：只允许root用户在/etc/securetty列出的安全终端上登陆

cat /etc/securetty

这里面放置的是限制root用户登录在特定的设备上，安全的登陆tty终端

示例：

允许root在telnet登陆

vi /etc/pam.d/login #auth required pam_securetty.so

#将这上面一行加上注释

如果登录不成功，可能是其他的文件配置中也有上面那一行，搜索注释就可以了

经过实验证明只要注释掉remote这个文件中的那一行就可以登录，看来登录的时候没有启动login这个文件，remote文件是负责远程登录的。

或者/etc/securetty文件中加入 pts/0,pts/1…pts/n

也可以用第一种方法用telnet登录上去后看看tty是什么，然后在/etc/securetty中加上就可以

模块：pam_nologin.so 

功能：如果/etc/nologin文件存在,将导致非root用户不能登陆，如果用户shell是/sbin/nologin 时，当该用户登陆时会显示/etc/nologin.txt文件内容，并拒绝登陆

默认/etc/nologin这个文件是不存在的，若果将改文件创建则不是root用户就不能登录，该文件中有内容的话，会显示该文件中的内容。

示例：

echo "do not allow access" > /etc/nologin

在做一个小实验证明一下，将/etc/pam.d/su文件中加上一行下面的字样

这样的话用su - wang 切换也是不可以的

如果

/etc/nologin

这个文件不在默认路径下，将它移到/app/下，则普通用户是可以登录的，想要普通用户不能登录，则要在login指定文件路径，如下所示

时间有限，就介绍这几个模块，谢谢！