[转帖]Linux-PAM认证机制

https://www.cnblogs.com/marility/articles/9235522.html

鸟哥私房菜里面有这个地方 但是当时没注意. 早上弄vsftpd的时候掉坑里了 

这会儿 百度一下 简单学习学习..

这个博客挺好的 我学到了 ldd命令 还有 strings 命令

linux 庞大而复杂 需要不停的学习和使用才可以.

在新主机更改用户密码的时候,经常会出现"passwd: Have exhausted maximum number of retries for service"的报错

[[email protected]10-112-41-157 ~]# echo ‘co4lgTdDD3iK7WYEJAyL0KT5pLXS0o3r‘ | passwd --stdin testpam
Changing password for user testpam.
passwd: Have exhausted maximum number of retries for service

实际之上,可以使用chpasswd命令更改解决,但非明文更改密码无法实现

1.PAM机制

在centos 6中用户的密码权限更变模块主要涉及到PAM(Pluggable Authentication Modules)认证机制,该机制由Sun公司提供,在Linux中,PAM是可动态配置的,本地系统管理员可以自由选择应用程序如何对用户进行身份验证。PAM应用在许多程序与服务上,比如登录程序(login、su)的PAM身份验证(口令认证、限制登录),passwd强制密码,用户进程实时管理,向用户分配系统资源等

点击我:>>centos官方文档说明

2.centos pam配置文件的构成

pam主要由动态库与配置文件构成。/etc/pam.d/目录中定义了各种程序和服务的PAM配置文件,如其中system-auth文件是PAM模块的重要配置文件,它主要负责用户登录系统的身份认证工作,不仅如此,其他的应用程序或服务可以通过include接口来调用它(该文件是system-auth-ac的软链接)。此外password-auth配置文件也是与身份验证相关的重要配置文件,比如用户的远程登录验证(SSH登录)就通过它调用。而模块文件则主要存放于/lib64/security/

1.配置文件
[[email protected]10-110-122-196 ~]# ll /etc/pam.d/
total 148
-rw-r--r--. 1 root root 272 Oct 18  2014 atd
-rw-r--r--. 1 root root 192 Oct 15  2014 chfn
-rw-r--r--. 1 root root 192 Oct 15  2014 chsh
-rw-r--r--  1 root root 232 Aug 18  2015 config-util
-rw-r--r--. 1 root root 293 Nov 23  2013 crond
-rw-r--r--. 1 root root  71 Nov 22  2013 cvs
-rw-r--r--. 1 root root 115 Nov 11  2010 eject
lrwxrwxrwx. 1 root root  19 Jan 14  2016 fingerprint-auth -> fingerprint-auth-ac
-rw-r--r--. 1 root root 659 Jan 14  2016 fingerprint-auth-ac
略
2.依赖的模块
[[email protected] ~]# ll /lib64/security/
total 808
-rwxr-xr-x  1 root root 18552 Aug 18  2015 pam_access.so
-rwxr-xr-x. 1 root root  7504 Dec  8  2011 pam_cap.so
-rwxr-xr-x  1 root root 10272 Aug 18  2015 pam_chroot.so
-rwxr-xr-x. 1 root root  9216 Nov 11  2010 pam_ck_connector.so
-rwxr-xr-x  1 root root 27080 Aug 18  2015 pam_console.so
-rwxr-xr-x  1 root root 14432 Aug 18  2015 pam_cracklib.so
-rwxr-xr-x  1 root root 10168 Aug 18  2015 pam_debug.so
以下略
3.判断是否使用pam认证

判断一个程序是否使用了pam认证,可以查看其是否有使用pam模块即可

[[email protected]110-122-196 pam.d]# ldd /usr/sbin/sshd | grep pam
    libpam.so.0 => /lib64/libpam.so.0 (0x00007f3460605000)
[[email protected]110-122-196 pam.d]# ldd /usr/bin/passwd | grep pam
    libpam_misc.so.0 => /lib64/libpam_misc.so.0 (0x00007fe943edb000)
    libpam.so.0 => /lib64/libpam.so.0 (0x00007fe9434f6000)

以上说明sshd和passwd都有使用pam认证

3.pam配置文件的格式语法

<module interface>  <control flag>   <module name>   <module arguments>

详细查看一台主机中的system-auth-ac配置文件

[[email protected]10-110-122-196 pam.d]# cat system-auth-ac
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so

password    requisite     pam_cracklib.so  retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
1.模块接口:
参数 作用
auth 认证模块接口,如验证用户身份、检查密码是否可以通过,并设置用户凭据
account 账户模块接口,检查指定账户是否满足当前验证条件,检查账户是否到期等
password 密码模块接口,用于更改用户密码,以及强制使用强密码配置
session 会话模块接口,用于管理和配置用户会话。会话在用户成功认证之后启动生效
2.控制标识:
参数 作用
required 模块结果必须成功才能继续认证,如果在此处测试失败,则继续测试引用在该模块接口的下一个模块,直到所有的模块测试完成,才将结果通知给用户。
requisite 模块结果必须成功才能继续认证,如果在此处测试失败,则会立即将失败结果通知给用户。
sufficient 模块结果如果测试失败,将被忽略。如果sufficient模块测试成功,并且之前的required模块没有发生故障,PAM会向应用程序返回通过的结果,不会再调用堆栈中其他模块。
optional 该模块返回的通过/失败结果被忽略。当没有其他模块被引用时,标记为optional模块并且成功验证时该模块才是必须的。该模块被调用来执行一些操作,并不影响模块堆栈的结果。
include include与模块结果的处理方式无关。该标志用于直接引用其他PAM模块的配置参数
3.模块参数

这里面主要讲pam_cracklib.so的相关参数,因为用户密码修改主要与此模块相关

参数 作用
authtok_type=xxx 用户密码修改的提示语,默认为空
retry=N 密码尝试错误N次禁止登录,默认为1
difok=N 新旧密码不得有N个字符重复,默认为5
difignore=N 字符数达到N个后,忽略difok,默认为23
minlen=N 密码长度不得少于N位
dcredit=N 至少包含N个数字
ucredit=N 至少包含N个大写字母
lcredit=N 至少包含N个小写字母
ocredit=N 至少包含N个特殊字母
minclass=N 至少包含N种字符类型
maxrepeat=N 不能包含N个连续的字符
reject_username 不能包含用户名
use_authtok 强制使用之前的密码,即不允许用户修改密码
dictpath=/path/to/dict 指定cracklib模块的路径

注意,以上参数仅对非root用户生效,如果想对root用户生效,需要加入参数enforce_for_root

4.passwd与chpasswd的区别

因为passwd不能更改密码的时候,可以直接使用chpasswd进行更改

[[email protected]110-122-196 pam.d]# ldd /usr/sbin/chpasswd | grep pam
[[email protected]110-122-196 pam.d]# ldd /usr/bin/passwd | grep pam
    libpam_misc.so.0 => /lib64/libpam_misc.so.0 (0x00007f64dd087000)
    libpam.so.0 => /lib64/libpam.so.0 (0x00007f64dc6a2000)

从以上可以看得,chpasswd并未使用pam认证机制,所以在passwd不能修改密码的时候,可以进行密码的修改。

从man中查看两者的区别

NAME
       passwd - update user’s authentication tokens

SYNOPSIS
       passwd [-k] [-l] [-u [-f]] [-d] [-e] [-n mindays] [-x maxdays] [-w warndays] [-i inactivedays] [-S] [--stdin] [username]

DESCRIPTION
       The passwd utility is used to update user’s authentication token(s).
       This task is achieved through calls to the Linux-PAM and Libuser API.  Essentially, it initializes itself as a "passwd" service with Linux-PAM and utilizes configured password modules to authenticate and then update a user’s password.

NAME
       chpasswd - update passwords in batch mode

SYNOPSIS
       chpasswd [options]

DESCRIPTION
       The chpasswd command reads a list of user name and password pairs from standard input and uses this information to update a group of existing users. Each line is of the format:
       user_name:password
       By default the supplied password must be in clear-text, and is encrypted by chpasswd. Also the password age will be updated, if present.
       The default encryption algorithm can be defined for the system with the ENCRYPT_METHOD variable of /etc/login.defs, and can be overwiten with the -e, -m, or -c options.
       chpasswd first update the password in memory, and then commit all the changes to disk if no errors occured for any users.
       This command is intended to be used in a large system environment where many accounts are created at a single time.

很显然可以查看得到passwd需要调用linux-PAM,然后调用密码模块,最后更新用户密码。而chpasswd是直接更新用户密码

chpasswd使用的加密算法可以通过选项进行控制,默认是使用SHA-512算法

/etc/shadow文件中可以看到用户加密码后的密码

[[email protected]110-122-196 pam.d]# cat /etc/shadow
root:$6$hFXXRDb0$jQsZU9Lo8.HeYt4.kGr4QD8eUypaBr6EV403dN1LWBTXChNNXad0sHWl/55T7PiKUwdYoiAyeDt1.xqqf2Pt61:17477:0:99999:7:::

其中第二行中的6,代替加密算法为SHA-512,从系统库文件为GLIBC_2.7起,默认加密算法均为 SHA-512,查看系统库glibc版本方法:

[[email protected]110-122-196 pam.d]# strings /lib64/libc.so.6 | grep GLIBC
GLIBC_2.2.5
GLIBC_2.2.6
GLIBC_2.3
GLIBC_2.3.2
GLIBC_2.3.3
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.5
GLIBC_2.6
GLIBC_2.7
GLIBC_2.8
GLIBC_2.9
GLIBC_2.10
GLIBC_2.11
GLIBC_2.12
GLIBC_PRIVATE

centos6系统以上即为2.12版本

原文地址:https://www.cnblogs.com/jinanxiaolaohu/p/12166087.html

时间: 2024-11-25 07:41:00

[转帖]Linux-PAM认证机制的相关文章

Linux用户安全及Linux PAM验证机制

一.Linux身份验证 1.用户与系统管理员     >用户分为系统管理员与普通管理用户两大类.            >每个用户在系统中都有唯一的用户名,是用户使用系统的凭证.     >系统管理员(System Manager) 又称之为超级用户,账号为"root",也叫根用户,拥有系统操作最高行使权.         >在系统中具有最高权限,主要负责系统管理工作.     >普通用户的账号可以随意取,通常的要求是不能以数字和下划线作为第一个字符.  

PAM认证机制

PAM:Pluggable Authentication Modules 认证库:文本文件,MySQL,NIS,LDAP等 PAM 是关注如何为服务验证用户的API,通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开 使得系统管理员可以灵活地根据需要给不同的服务配置不 同的认证方式而无需更改服务程序 它提供了对所有服务进行认证的中央机制,适用于login,远 程登录(telnet,rlogin,fsh,ftp,点对点协议(PPP)),su等 应用程序中.系统管理员通

PAM 认证机制

v PAM:Pluggable Authentication Modules ü  认证库:文本文件,MySQL ,NIS ,LDAP等 等 ü Sun 公司于1995  年开发的 一种 与 认证 相关的通用框架 机制 ü PAM 是关注如何为服务验证用户的 API, 通过提供一些动 态链接库和一套统一的API ,将系统提供的服务和该服务的 认证方式分开 ü  使得系统管理员可以灵活地根据需要给不同的服务配置不 同的认证方式而无需更改服务程序 ü  一种认证框架,自身不做认证 v  它提供了对所

linux PAM 用户登录认证

PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制.它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系 统中添加新的认证手段.从本篇开始会总结一些常用的pam模块及其实现的功能,今天讲的是pam_tally2模块. 一.参数与场景 应用场景:设置Linux用户连续N次输入错误密码进行登陆时,自动锁定X分钟或永久锁

Xshell使用密钥认证机制远程登录Linux

密钥认证是Linux下ssh服务支持的一种安全认证机制.它使用一对加密字符串,一个称为公钥(publickey),用于加密:另一个称为密钥(privatekey),只有创建者才能拥有使用,其用于解密.那么如何使用密钥认证登陆Linux呢? 1.下Xshell软件 在www.baidu.com搜索框内输入xshell,出现搜素结果后,点击高速下载或者普通下载,开始下载xshell软件. 2.安装xshell软件 Xshell支持多国语言版本,且可以免费获得.在安装时要注意选择免费版本,即"免费为家

Linux中pam认证详解(下)

Linux中pam认证详解(下) 在上一篇中详细的介绍了pam的介绍.pam认证原理.pam认证构成以及pam验证控制类型,下面向大家详细介绍一下常用的pam服务模块,以及pam认证的应用. 一.常用的pam服务模块 下面是Linux提供的PAM模块列表(只是其中一部分),这其中包含模块文件.模块功能描述和相关配置文件,具体如下: pam_access 提供logdaemon风格登录控制 /etc/security/access.conf pam_chroot 提供类似chroot命令的功能 p

Linux -- 加强Linux服务器安全-PAM认证

PAM(Pluggable Authentication Modules)即可插拔式认证模块,它是一种高效而且灵活便利的用户级别的认证方式,它也是当前Linux服务器普遍使用的认证方式.当然,在不同版本的Linux统中部署PAM认证是有所不同的,本文将以RHEL4版本为例进行解析. 1.部署PAM认证的必要性 我们知道一台Linux服务器会开许多不同的服务,这些服务中很多服务本身并没有认证功能,只是把认证交给用户名及密码.如果这样的话,那么所有服务都用Linux系统的用户名及密码来认证,对于服务

AIDE,sudo,TCP_Wrappers,PAM认证等系统安全访问机制

AIDE 高级入侵检测环境:是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了. AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件.AIDE数据库能够保存文件的各种属性,包括:权限(permission).索引节点序号(inode number).所属用户(user).所属用户组(group).文件大小.最后修改时间(mtime).创建时间(ctime).最后访问时间(atime).增加的大小以及连接数.AIDE还能够使用下列算法:sha

使用密钥认证机制远程登录Linux

密钥认证机制 创建存放key的文件 1)创建目录 /root/.ssh 并设置权限 [[email protected] ~]# mkdir /root/.ssh mkdir 命令用来创建目录,以后会详细介绍,暂时只了解即可. [[email protected] ~]# chmod 700 /root/.ssh chmod 命令是用来修改文件属性权限的,以后会详细介绍. 2)创建文件 / root/.ssh/authorized_keys [[email protected] ~]# vim