可插入式验证模块(PAM)
。可插入式验证木块
。应用程序调用libpam函数来验证和授权用户
。libpam基于应用程序的PAM配置文件做检测
。可以通过libc在NSS中检查
。共享的,动态可配置代码
。文档:/usr/share/doc/pam-<version>/
#man -k pam_ //打印linux可供使用的pam模块
PAM操作
。/lib/security/PAM模块
。每个模块执行一个通过(pass)或失败(fail)测试
。在/etc/security/中的文件会影响到一些模块如何执行他们的测试
。/etc/pam.d/PAM模块
。服务文件决定了怎样/何时模块被使用在特定的程序上
/etc/pam.d/文件:测试
。测试分成四组:
。auth 认证用户是否为此用户
。account 用于给账户授权
。password 控制密码的修改
。session 打开,断开并记录会话
。按需调用每个分组并提供各自的结果给服务。
/etc/pam.d/文件:控制值
。控制值决定了如何测试每个分组返回总的结果
。required 必须通过测试。如果失败了仍然继续后续测试
。requisite 雷同于required,除了在失败后立即停止测试
。sufficient 如果通过测试,立即返回成功状态(比如满足第一个条件通过,直接返回成功);而如果失败,忽略测试结果继续监测
。optional 测试是否通过都无关紧要(基本用户session环节)
。include 从所包含而调用到配置文件中放回测试控制总结果 //可能这个配置文件中包含了其他配置文件。需要两个方面验证。
不建议编写系统级别验证规则,就是system-auth,尽量单独编写对应应用程序的文件。
#man pam.conf
实例:/etc/pam.d/login文件
PAM排错
。检查系统日志
。/var/log/messages
。/var/log/secure
。PAM错误会导致root被锁
。在做测试时保持一个root的shell可用
。单用户模式绕过PAM
。使用救援碟引导系统
#tar cvf ~/pam.tar /etc/pam.d/ //将/etc/pam.d下面文件打包到家目录下,并命名为pam.tar
linux操作系统与安全相关的日志记录在/var/log/secure中
可以#tail -f secure 动态刷新secure日志查看登陆输入错误密码的提示。
#man -k pam_ | less //查看当前系统下安装的pam模块
system_auth文件
。system-auth被广为使用
。通过include而被调用,它不是一个模块(比如pam_stack.so)
。包含标准认证测试
。在系统中被使用应用程序共享使用
。简单的,一致的标准系统的验证方式
pam_unix.so
。基于NSS的验证
。auth 获取从NSS获得Hash后的密码
比与Hash后输入的密码相比较
。account 检查密码的失效期
。password 处理密码的改变修改本地文件或NIS
。session 记录登陆或退出日志
网络验证
。集中密码管理
。pam_krb5.so(Kerberos V票据)
。pam_ldap.so(LDAP binds)
。pam_smb.auth.so(老的SMB认证)
。pam_winbind.so(通过winbindd的SMB)
。一些服务使用NSS/pam_unix.so
。NIS,Hesiod,一些LDAP配置
auth模块
。pam_securetty.so 如果root登陆了在/etc/securetty没有列举的终端结果失败
。pam_nologin.so 如果非root用户存在在/etc/nologin中结果失败
。pam_listfile.so 按照一个列表文件检查认证特性
。列出哪些账户被允许/拒绝
密码安全
。pam_unix.so 使用MD5 hash密码
。确保密码Hash格式不容易破解
。pam_unix.so shadow密码
。让hash的密码只对root可见
。老化密码
。也有一些其他模块支持密码老化机制
Password策略
。密码历史记录
。pam_unix.so 接remember=N参数
。密码长度
。pam_cracklib.so
。pam_passwdqc.so
。监控失败的登陆
。pam_tally.so
Session模块
。pam_limits.so 对资源的强制限制
。使用/etc/security/limits.conf
。pam_console.so 为控制台设置本地设备权限
。同样可以用在auth模块中
。pam_selinux.so 用来设置SELinux上下文属性
。pam_mkhomedir.so 如果主目录不存在将创建一个