第一次出色的表演

1、Linux PAMfrom the System Administrators perspective張耀中 .tw交通大學(xué)資訊科學(xué)系系計(jì)算機(jī)中心交通大學(xué)資訊科學(xué)系 系計(jì)算機(jī)中心22021/12/31Outlinen什麼是PAM?nPAM的基本組成元件nPAM在Linux上的設(shè)定方式n支援PAM的應(yīng)用程式設(shè)定範(fàn)例n參考資料交通大學(xué)資訊科學(xué)系 系計(jì)算機(jī)中心32021/12/31什麼是PAM？(1/3)nPAM 為Pluggable Authentication Module的簡(jiǎn)稱n傳統(tǒng)UNIX上應(yīng)用程式的認(rèn)證機(jī)制 Loginlogin: gis92xxxpa

2、ssword:Authenticationschemeshellapplicationusers交通大學(xué)資訊科學(xué)系 系計(jì)算機(jī)中心42021/12/31什麼是PAM？(2/3)n應(yīng)用程式引用PAM之後的認(rèn)證過(guò)程LoginLinux PAMshelluserauthacctpasswordsessionlogin auth a.sologin auth b.soa.sob.soapplicationfunctioncalls交通大學(xué)資訊科學(xué)系 系計(jì)算機(jī)中心52021/12/31什麼是PAM？(3/3)n使用PAM帶來(lái)什麼好處?應(yīng)用程式處理認(rèn)證的部份被抽離n交給Linux PAM透過(guò)Linux PA

3、M可以自訂化不同的認(rèn)證方式nDES, MD5, Novell database, NT database and etc.應(yīng)用程式不需要重新編譯即可享用PAM帶來(lái)的便利性n但是應(yīng)用程式必須使用PAM所提供的API交通大學(xué)資訊科學(xué)系 系計(jì)算機(jī)中心62021/12/31PAM的基本組成元件n認(rèn)證模組在Linux下, 放置在/lib/security的目錄下npam_*.so可堆疊 (stacked)n設(shè)定檔放置在/etc/pam.d/下, 或是/etc/pam.confn支援PAM的應(yīng)用程式判斷是否支援PAM: ldd nlinking with /lib/libpam.so.x and /lib

4、/libpam_misc.so.x交通大學(xué)資訊科學(xué)系 系計(jì)算機(jī)中心72021/12/31PAM在Linux上的設(shè)定方式 (1/4)n修改 /etc/pam.conf 或是/etc/pam.d/基本形式service-name module-type control-flag module-path args 如果設(shè)定檔為/etc/pam.d/, service-name則不用寫nservice-name通常跟應(yīng)用程式同名, OTHER為保留字,如果支援PAM的應(yīng)用程式service-name沒(méi)列舉在上面, 則OTHER相關(guān)的設(shè)定適用之, 否則忽略su auth required /lib/se

5、curity/pam_wheel.so use_uid交通大學(xué)資訊科學(xué)系 系計(jì)算機(jī)中心82021/12/31PAM在Linux上的設(shè)定方式 (2/4)nmodule-type 認(rèn)證過(guò)程主要的四個(gè)部份auth 提供實(shí)際的認(rèn)證過(guò)程n提示輸入使用者名稱、密碼account 和授權(quán)無(wú)關(guān)的工作n根據(jù)時(shí)間、地點(diǎn)、系統(tǒng)資源來(lái)決定成功與否password 更改授權(quán)資料的方式session 一些前置或是後置工作n記錄log 、掛上某些檔案系統(tǒng)等等交通大學(xué)資訊科學(xué)系 系計(jì)算機(jī)中心92021/12/31PAM在Linux上的設(shè)定方式 (3/4)ncontrol-flags用來(lái)決定此模組失敗或成功後的動(dòng)作常用的三種c

6、ontrol-flagsnrequired- 如果失敗會(huì)繼續(xù)執(zhí)行堆疊的模組，最後才將錯(cuò)誤傳回應(yīng)用程式nrequisite- 如果失敗會(huì)立即中止整個(gè)認(rèn)證流程nsufficient - 如果這個(gè)模組成功則不執(zhí)行後面的堆疊模組但如果之前的模組是required 並且失敗的話sufficient成功的結(jié)果會(huì)被忽略交通大學(xué)資訊科學(xué)系 系計(jì)算機(jī)中心102021/12/31PAM在Linux上的設(shè)定方式 (4/4)nmodule-path模組所在的路徑n/lib/security/pam_deny.sonargs給模組的參數(shù)如果包含space須用括號(hào)之nsquid auth required pam_mys

7、ql.so user=passwd_query passwd=mada db=eminence query=select user_name from internet_service where user_name=%u and password=PASSWORD(%p) and service=web_proxy 交通大學(xué)資訊科學(xué)系 系計(jì)算機(jī)中心112021/12/31支援PAM的應(yīng)用程式設(shè)定範(fàn)例(1/3)nCase 1: 限制root使用useradd的IP來(lái)源1. vi /etc/pam.d/useraddauth sufficient /lib/security/pam_rootok

8、.soauth required /lib/security/pam_permit.soaccount required /lib/security/pam_stack.so service=system-authaccount required /lib/secuirty/pam_access.sopassword required /lib/security/pam_permit.so2. vi /etc/security/access.conf-:root:ALL EXCEPT # root只能從來(lái)自的IP新增使用者交通大學(xué)資訊科學(xué)系 系

9、計(jì)算機(jī)中心122021/12/31支援PAM的應(yīng)用程式設(shè)定範(fàn)例(2/3)nCase 2:檢查使用者所更改的密碼1. vi /etc/pam.d/passwdpassword sufficient /lib/security/pam_cracklib.so retry=3password required pam_unix.so no_warn try_first_pass nullok# 會(huì)對(duì)使用passwd更改密碼的使用者做”非強(qiáng)制性”的密碼可用度檢查, 例如密碼長(zhǎng)度, 是否過(guò)度簡(jiǎn)單交通大學(xué)資訊科學(xué)系 系計(jì)算機(jī)中心132021/12/31支援PAM的應(yīng)用程式設(shè)定範(fàn)例(3/3)nCase 3:紀(jì)錄更改過(guò)密碼的使用者1. vi /etc/pam.d/passwdpassword sufficient /lib/security/pam_cracklib.so retry=3password required /lib/security/pam_warn.so password required /lub/security/pam_unix.so n