PAM(Pluggable Authentication Modules) PAM架構 pam 認證原理 PAM 認證過程 PAM的配置文件 pam文檔 限制的實現方式 共有3種方式: 1)通過ulimit命令 2)在/etc/security/limits.d/目錄下創建限制文件來實現 3)修改/ ...
PAM(Pluggable Authentication Modules)
Sun公司於1995年開發的一種與認證相關的通用框架機制:PAM。
可插入式認證模塊,是實現認證工作的一個模塊。
因為每個服務都用到不同的認證方式,所以就需要不同的認證庫。
認證庫有文本文件,MySQL資料庫,NIS ,LDAP等,這些庫所對應的系統模塊位於/lib64/security/目錄下的所有庫文件(以".so"尾碼的文件)。
PAM是關註如何為服務驗證用戶的API(應用程式介面),通過提供一些動態鏈接庫和一套統一的API,將系統提供的服務和該服務的認證方式分開。
使得系統管理員可以靈活地根據需要給不同的服務配置不同的認證方式,而無需更改服務程式。
PAM是一種認證框架,自身不做認證。
PAM提供了對所有服務進行認證的中央機制,適用於login ,遠程登錄(telnet,rlogin,fsh,ftp, 點對點協議(PPP )),su等應用程式中。
系統管理員通過PAM配置文件來制定不同應用程式的不同認證策略。
應用程式開發者通過在服務程式中使用PAM API(pam_xxxx( )) 來實現對認證方法的調用。
PAM 服務模塊的開發者則利用PAM SPI來編寫模塊(主要是引出一些函數pam_sm_xxxx( ) 供PAM 介面庫調用),將不同的認證機制加入到系統中。
PAM 介面庫(libpam )則讀取配置文件,將應用程式和相應的PAM 服務模塊聯繫起來 。PAM架構
pam 認證原理
PAM 認證一般遵循這樣的順序:
Service(服務) →PAM( 配置文件) →pam_*.so。
PAM 認證首先要確定那一項服務,然後載入相應的PAM的配置文件( 位於/etc/pam.d 下) ,最後調用認證文件( 位於/lib/security 下) 進行安全認證。PAM 認證過程
1)使用者執行/usr/bin/passwd程式,並輸入密碼。
2)passwd開始呼叫PAM模塊,PAM模塊會搜尋passwd程式的PAM 相關設定文件,這個設定文件一般是在/etc/pam.d/裡邊的與程式同名的文件 ,即PAM 會搜尋/etc/pam.d/passwd這個設置文件
3)經由/etc/pam.d/passwd 設定文件的數據,取用PAM 所提供的相關模塊來進行驗證
4)將驗證結果回傳給passwd 這個程式,而passwd 這個程式會根據PAM回傳的結果決定下一個動作(重新輸入密碼或者通過驗證)PAM的配置文件
1)pam的配置文件當中為每種應用定義其需要用到的模塊,包括驅動、授權機制等。
2)配置文件
模塊文件目錄: /lib64/security/*.so
模塊配置文件: /etc/security/*.conf
環境相關的設置: /etc/security/
主配置文件: /etc/pam.conf ,預設不存在。
次級配置文件目錄: /etc/pam.d/,該配置文件目錄下的每個配置文件都對應一個應用模塊的專用配置文件
註意:
如/etc/pam.d 存在,/etc/pam.conf 將失效
3)模塊通過讀取模塊配置文件完成用戶對系統資源的使用控制
4)註意:修改PAM 配置文件將馬上生效
5)建議:編輯pam規則時 ,保持至少打開一個root會話,以防止root 身份驗證錯誤
6)通用配置文件/etc/pam.conf 格式
application 、type 、control 、module-path 、module-arguments
7)專用配置文件/etc/pam.d/* 格式
type、control、module-path、module-arguments
8)說明:
1》tyoe(功能,模塊類型):
包括auth,account,password,session。
auth: 認證和授權;
account: 與賬號管理相關的非認證功能;
password: 用戶修改密碼時使用;
session: 用戶獲取到服務前後使用服務完成後要進行的一些附屬性操作
-type: 表示因為缺失而不能載入的模塊將不記錄到系統日誌, 對於那些不總是安裝在系統上的模塊有用
2》control:
pam如何處理與該服務相關的pam的成功或失敗情況?同一種功能的多個檢查之間如何進行組合?有兩種實現機制。
1.使用一個關鍵詞來定義:
required: 一票否決,表示本模塊必須返回成功才能通過認證,但是如果該模塊返回失敗,失敗結果也不會立即通知用戶,而是要等到同一type中的所有模塊全部執行完畢再將失敗結果返回給應用程式。 必要條件
requisite: 一票否決,該模塊必須返回成功才能通過認證,但是一旦該模塊返回失敗,將不再執行同一type 內的任何模塊,而是直接將控制權返回給應用程式。必要條件
sufficient: 一票通過, 表明本模塊返回成功則通過身份認證的要求,不必再執行同一type內的其它模塊,但如果本模塊返回失敗可忽略。充分條件
optional: 表明本模塊是可選的,它的成功與否不會對身份認證起關鍵作用,其返回值一般被忽略
include: 使用其他配置文件中同樣功能的相關定義來進行檢查
2.使用一到多組“return status=action”來定義;
[status1=action1 status2=action2....]
status: 指定此項檢查的返回值,其可能的取值有多種。如success。
action: 採取的操作,其可能的取值常用的有6種,如ok,done,die,ignore,bad,reset。
ok 模塊通過,繼續檢查
done 模塊通過,返回最後結果給應用
bad 結果失敗,繼續檢查
die 結果失敗,返回失敗結果給應用
ignore 結果忽略,不影響最後結果
reset 忽略已經得到的結果
3》module-path:
模塊路徑,用來指明本模塊對應的程式文件的路徑名。
相對路徑
絕對路徑
4》module-argument:
模塊參數,用來傳遞給該模塊的參數。
pam_unix.so:
nullok: 允許使用空密碼;
try_first_pass: 提示用戶輸入密碼之前,首先檢查此前棧中已經得到的密碼;
pam_env.so: 通過配置文件來為用戶設定或撤銷環境變數,/etc/security/pam_env.conf
pam_shells.so: 檢查用戶使用的是否為合法shell,/etc/shells
pam_limits.so: 資源限制,/etc/sercurity/limits.conf ;/etc/sercurity/limits.d/*pam文檔
/user/share/doc/pam-*
rpm -qd pam
man –k pam
man 模塊名,如man rootok
《The Linux-PAM System Administrators' Guide》限制的實現方式
共有3種方式:
1)通過ulimit命令
2)在/etc/security/limits.d/目錄下創建限制文件來實現
3)修改/etc/pam.d/目錄下的配置文件,這是使用pam模塊來實現的
1)ulimit 命令,修改shell資源的限制,立即生效,但無法保存。
ulimit-Modify shell resource limits.
ulimit [-SHacdefilmnpqrstuvx] [limit]
Options:
-S use the `soft' resource limit
-H use the `hard' resource limit
-a all current limits are reported
-b the socket buffer size
-c the maximum size of core files created
-d the maximum size of a process's data segment
-e the maximum scheduling priority (`nice')
-f the maximum size of files written by the shell and its children
-i the maximum number of pending signals
-l the maximum size a process may lock into memory
-m the maximum resident set size
-n the maximum number of open file descriptors
-p the pipe buffer size
-q the maximum number of bytes in POSIX message queues
-r the maximum real-time scheduling priority
-s the maximum stack size
-t the maximum amount of cpu time in seconds
-u the maximum number of user processes
-v the size of virtual memory
-x the maximum number of file locks
-n 最多的打開的文件描述符個數
-u 最大用戶進程數
-S 使用 `soft' (軟)資源限制
-H 使用 `hard' (硬)資源限制
2)創建限制文件:
/etc/security/limits.conf:
說明文件,也可以直接在這裡面進行定義!
/etc/security/limits.d/*.conf:
限制文件,每行一個定義;
限制文件中的限制語法為:
<domain> <type> <item> <value>
<domain>:
應用於哪些對象
username 單個用戶
@group 組內所有用戶
* 所有用戶
<type>:
限制的類型
Soft 軟限制, 普通用戶自己可以修改
Hard 硬限制, 由root用戶設定,且通過kernel強制生效
- 二者同時限定
<item>:
限制的資源
nofile 所能夠同時打開的最大文件數量, 預設為1024
nproc 所能夠同時運行的進程的最大數量, 預設為1024
...
<value>:
指定item所對應的具體值
3)修改/etc/pam.d/目錄下的配置文件
使用PAM模塊實現:
1》模塊:pam_shells
功能:檢查有效shell
man pam_shells
示例:不允許使用/bin/csh 的用戶本地登錄
vim /etc/pam.d/login
auth required pam_shells.so
vim /etc/shells
去掉 /bin/csh
useradd –s /bin/csh testuser
testuser 將不可登錄
tail /var/log/secure
2》模塊:pam_securetty.so
功能:只允許root 用戶在/etc/securetty 列出的安全終端上登陸
示例:允許root 在telnet 登陸
vi /etc/pam.d/login
#auth required pam_securetty.so # 將這一行加上註釋
或者/etc/securetty 文件中加入pts/0,pts/1…pts/n
3》模塊:pam_nologin.so
功能: 如果/etc/nologin 文件存在, 將導致非root用戶不能登陸,如果 用戶shell 是/sbin/nologin 時,當該用戶登陸時,會顯示/etc/nologin.txt 文件內容,並拒絕登陸
4》模塊:pam_limits.so
功能:在用戶級別實現對其可使用的資源的限制,例如:可打開的文件數量,可運行的進程數量,可用記憶體空間,最多打開的文件數和運行進程數。
vim /etc/pam.d/system-auth
session required pam_limits.so
vim /etc/security/limits.conf
apache – nofile 10240 apache用戶可打開10240個文件
student hard nproc 20 不能運行超過20個進程
