PAM:Pluggable Authentication Modules
认证库:文本文件,MySQL,NIS,LDAP等
PAM 是关注如何为服务验证用户的API,通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开
使得系统管理员可以灵活地根据需要给不同的服务配置不 同的认证方式而无需更改服务程序
它提供了对所有服务进行认证的中央机制,适用于login,远 程登录(telnet,rlogin,fsh,ftp,点对点协议(PPP)),su等 应用程序中。系统管理员通过PAM配置文件来制定不同应用 程序的不同认证策略;应用程序开发者通过在服务程序中使 用PAM API(pam_xxxx( ))来实现对认证方法的调用;而 PAM服务模块的开发者则利用PAM SPI来编写模块(主要是 引出一些函数pam_sm_xxxx( )供PAM接口库调用),将不 同的认证机制加入到系统中;PAM接口库(libpam)则读取 配置文件,将应用程序和相应的PAM服务模块联系起来。
PAM架构
PAM认证原理
1、PAM认证一般遵循这样的顺序:Service(服务)→PAM(配置文 件)→pam_*.so
2、PAM认证首先要确定那一项服务,然后加载相应的PAM的配 置文件(位于/etc/pam.d下),最后调用认证文件(位于 /lib/security下)进行安全认
PAM相关文件
模块文件目录:/lib64/security/*.so
环境相关的设置:/etc/security/
主配置文件:/etc/pam.conf,默认不存在
为每种应用模块提供一个专用的配置文件: /etc/pam.d/APP_NAME ü
注意:如/etc/pam.d存在,/etc/pam.conf将失效
PAM认证过程:
1.使用者执行/usr/bin/passwd 程序,并输入密码
2.passwd开始呼叫PAM模块,PAM模块会搜寻passwd程序的 PAM相关设定文件,这个设定文件一般是在/etc/pam.d/里边的与程序同名的文件,即PAM会搜寻/etc/pam.d/passwd 这个设置文件
3.经由/etc/pam.d/passwd设定文件的数据,取用PAM所提 供的相关模块来进行验证
4.将验证结果回传给passwd这个程序,而passwd这个程序会 根据PAM回传的结果决定下一个动作(重新输入密码或者通 过验证)
通用配置文件/etc/pam.conf格式
application type control module-path arguments
专用配置文件/etc/pam.d/* 格式
type control module-path arguments
说明:
服务名(application) telnet、login、ftp等,服务名字“OTHER”代表所有没 有在该文件中明确配置的其它服务
模块类型(module-type)
control PAM库该如何处理与该服务相关的PAM模块的成 功或失败情况 ü module-path 用来指明本模块对应的程序文件的路径名
Arguments 用来传递给该模块的参数
模块类型(module-type)
Auth 账号的认证和授权
Account 与账号管理相关的非认证类的功能,如:用来限 制/允许用户对某个服务的访问时间,当前有效的系统资源 (最多可以有多少个用户),限制用户的位置(例如:root用 户只能从控制台登录)
Password 用户修改密码时密码复杂度检查机制等功能
Session 用户获取到服务之前或使用服务完成之后需要进 行一些附加的操作,如:记录打开/关闭数据的信息,监视 目录等
-type 表示因为缺失而不能加载的模块将不记录到系统日 志,对于那些不总是安装在系统上的模块有用
Control:
PAM库如何处理与该服务相关的PAM模块成功或失败情况
两种方式实现:简单和复杂
简单方式实现:一个关健词实现
required :一票否决,表示本模块必须返回成功才能通过认证,但是如果该模块返回失败,失败结果也不会立即通知用户,而是要等到同一type中的所有模块全部执行完毕 再将失败结果返回给应用程序。即为必要条件
requisite :一票否决,该模块必须返回成功才能通过认证, 但是一旦该模块返回失败,将不再执行同一type内的任何模 块,而是直接将控制权返回给应用程序。是一个必要条件
sufficient :一票通过,表明本模块返回成功则通过身份认 证的要求,不必再执行同一type内的其它模块,但如果本模 块返回失败可忽略,即为充分条件
optional :表明本模块是可选的,它的成功与否不会对身份 认证起关键作用,其返回值一般被忽略
include: 调用其他的配置文件中定义的配置信息
比如我们查看一下/etc/pam.d中的一个配置文件,第一列就是模块的类型,第二列就是control,第三列就是我们所要调用的库,有些文件的配置格式中只有这三项,但是有些文件是四项。
module-path: 模块路径
相对路径:
/lib64/security目录下的模块可使用相对路径
如:pam_shells.so、pam_limits.so
绝对路径:
模块通过读取配置文件完成用户对系统资源的使用控制
/etc/security/*.conf
注意:修改PAM配置文件将马上生效
建议:编辑pam规则时,保持至少打开一个root会话,以防止 root身份验证错误
Arguments 用来传递给该模块的参数
模块:pam_shells
功能:检查有效shell
如果修改vim /etc/pam.d/login只要和登陆相关的程序都受影响,因为用户一登陆就会调用这个login程序
如果只修改vim /etc/pam.d/sshd这个配置文件,那就只会影响ssh的连接
实验
1、创建一个用户并且这个用户的shells类型是/bin/csh
useradd -s /bin/csh test
可以在查看一下/etc/passwd是否设置正确
2、在/etc/shells中删除/bin/csh这一行
3、然后在其他主机试着用ssh连接这个用户,注意,必须是连接这个用户,因为只是修改了这个用户的shells
看见如上字样那就说明我们的实验是成功的,因为在172.18.77.7这台主机上设置了sshd这个服务,且在/etc/pam.d/sshd中定义了用户用sshd连接是检查shells的类型。(调用了pam_shells.so这个库)这个库的作用就是检查/etc/shells这个文件中有没有对应的shells类型,没有/bin/sch这样的shells类型就会拒绝。
现在在尝试做另一个小实验修改vim /etc/pam.d/login文件,将同样的设置放在这个配置文件中
切换普通用户登录,依然会登上去,因为可能没有调用login程序
采用本地登录的方式就会看到明显的效果了,如下图所示
两个小实验已经做完了,收获不小吧!还可以查看日志cat /var/log/secure
如果还不明白,也可以将上述设置放入到/etc/pam.dsu这个文件里,看看效果
可以直接切换用户就可以看到明显的效果
模块:pam_securetty.so v
功能:只允许root用户在/etc/securetty列出的安全终端上登陆
cat /etc/securetty
这里面放置的是限制root用户登录在特定的设备上,安全的登陆tty终端
示例:
允许root在telnet登陆
vi /etc/pam.d/login #auth required pam_securetty.so
#将这上面一行加上注释
如果登录不成功,可能是其他的文件配置中也有上面那一行,搜索注释就可以了
经过实验证明只要注释掉remote这个文件中的那一行就可以登录,看来登录的时候没有启动login这个文件,remote文件是负责远程登录的。
或者/etc/securetty文件中加入 pts/0,pts/1…pts/n
也可以用第一种方法用telnet登录上去后看看tty是什么,然后在/etc/securetty中加上就可以
模块:pam_nologin.so
功能:如果/etc/nologin文件存在,将导致非root用户不能登陆,如果用户shell是/sbin/nologin 时,当该用户登陆时会显示/etc/nologin.txt文件内容,并拒绝登陆
默认/etc/nologin这个文件是不存在的,若果将改文件创建则不是root用户就不能登录,该文件中有内容的话,会显示该文件中的内容。
示例:
echo "do not allow access" > /etc/nologin
在做一个小实验证明一下,将/etc/pam.d/su文件中加上一行下面的字样
这样的话用su - wang 切换也是不可以的
如果
/etc/nologin
这个文件不在默认路径下,将它移到/app/下,则普通用户是可以登录的,想要普通用户不能登录,则要在login指定文件路径,如下所示
时间有限,就介绍这几个模块,谢谢!