網(wǎng)絡(luò)操作系統(tǒng)_06

1、第6章 服務(wù)配置與管理Linux服務(wù)管理PAM認(rèn)證TCPWrappers與xinetd訪問控制主機防火墻6.1 Linux服務(wù)管理服務(wù)與守護進程的概念Linux網(wǎng)絡(luò)服務(wù)定義文件/etc/services 文件格式 端口范圍 作用：記錄標(biāo)準(zhǔn)端口設(shè)置和服務(wù)名（可用于配置文件參數(shù)）Linux服務(wù)啟動腳本 服務(wù)啟動腳本目錄：/etc/rc.d/init.d 運行級別 /etc/rc.d/rcN.d 符號鏈接的命名規(guī)則 啟動腳本的運行順序P191手動執(zhí)行服務(wù)啟動腳本 init.d腳本 service命令配置服務(wù)啟動狀態(tài) chkconfig 常用參數(shù) 實質(zhì)：改變符號鏈接 實例：修改level3的vsftp

2、服務(wù) ntsysv 文本交互界面 配置當(dāng)前級別下系統(tǒng)啟動時服務(wù)是否自動啟動使用圖形界面工具管理服務(wù)停用不必要的服務(wù) 查看當(dāng)前正在運行的服務(wù)chkconfig/service的替代品：systemctl systemctl是systemd的一部分，systemd是由Lennart Poettering帶頭開發(fā)，旨在取代傳統(tǒng)的init的軟件；飽受爭議的同時逐漸為各大發(fā)行版所采用； Fedora16之后都使用systemctl來取代chkconfig/service，原有命令依然存在； 新老命令的對比：6.2 PAM認(rèn)證PAM概述 PAM認(rèn)證機制的提出 身份驗證的發(fā)展 各種驗證方案的缺點：實現(xiàn)鑒別功

3、能的代碼通常作為應(yīng)用程序的一部分而一起編譯，缺乏靈活性 1995年，SUN提出PAM認(rèn)證機制，使具體認(rèn)證過程的實現(xiàn)和應(yīng)用程序相對獨立 PAM的體系結(jié)構(gòu) PAM 為了實現(xiàn)其插件功能和易用性，它采取了分層設(shè)計思想：讓各鑒別模塊從應(yīng)用程序中獨立出來，然后通過PAM API作為兩者聯(lián)系的紐帶，這樣應(yīng)用程序就可以根據(jù)需要靈活地在其中“插入”所需鑒別功能模塊，從而真正實現(xiàn)了“鑒別功能，隨需應(yīng)變”，其體系如下圖： PAM API 起著承上啟下的作用，它是應(yīng)用程序和鑒別模塊之間聯(lián)系的紐帶：當(dāng)應(yīng)用程序調(diào)用 PAM API 時,應(yīng)用接口層按照配置文件 pam.conf 的規(guī)定，加載相應(yīng)的鑒別模塊。然后把請求（即從

4、應(yīng)用程序那里得到的參數(shù)）傳遞給底層的鑒別模塊,這時鑒別模塊就可以根據(jù)要求執(zhí)行具體的鑒別操作了。當(dāng)鑒別 模塊執(zhí)行完相應(yīng)操作后，將結(jié)果返回給應(yīng)用接口層，然后由接口層根據(jù)配置的具體情況將來自鑒別模塊的應(yīng)答返回給應(yīng)用程序。 （參P194） PAM認(rèn)證的優(yōu)勢 可以獨立為各種服務(wù)/應(yīng)用程序提供各種認(rèn)證方案 為管理員和程序員在進行用戶認(rèn)證處理時提供靈活性 提供統(tǒng)一的認(rèn)證接口 PAM認(rèn)證的應(yīng)用 PAM已經(jīng)是Linux系統(tǒng)最主要的安全認(rèn)證模式 本地賬戶的局限性和缺點 PAM模塊 不同的認(rèn)證方法和功能，通過不同的PAM模塊實現(xiàn) PAM模塊實際上是.so的動態(tài)鏈接庫，位于/lib/security目錄下，可根據(jù)需要

5、動態(tài)的添加、刪除、修改 實際需求中，有時候不僅要驗證口令，可能要求驗證用戶的帳戶是否已經(jīng)過期、記錄日志等，所以 PAM 在模塊層除了提供鑒別模塊外，同時提供了支持帳戶管理、會話管理以及口令管理功能的模塊，四類模塊功能如下： auth：認(rèn)證模塊 account：賬戶管理模塊，如是否運行登錄、是否過期等 session：會話管理模塊，如登錄/退出前后要進行的操作 password：密碼管理，如修改密碼 應(yīng)用根據(jù)需要調(diào)用不同的模塊，如僅需要密碼，或需要密碼和指紋配置PAM 配置文件 每個支持PAM的應(yīng)用程序或服務(wù)，都在/etc/pam.d目錄中有一個相應(yīng)的配置文件，配置文件名通常和服務(wù)/應(yīng)用程序名稱

6、相同，配置文件的作用主要是為應(yīng)用選定具體的鑒別模塊，模塊間的組合以及規(guī)定模塊的行為。 配置文件有許多登記項(每行對應(yīng)一個登記項)組成，每一行又分為四列： 模塊類型 控制標(biāo)記 模塊路徑 模塊參數(shù) 控制標(biāo)記 規(guī)定如何處理模塊的成功和失敗情況，分四類： required：用戶通過鑒別的必要條件，如果認(rèn)證失敗，先繼續(xù)其他認(rèn)證，最后返回失敗 requisite：如果失敗，立刻返回失敗 sufficient：充分條件，如果成功，且前面的required沒有失敗，則立即返回成功；如果失敗，則最終結(jié)果根據(jù)后續(xù)認(rèn)證而定 optional：成功或失敗，不影響最終結(jié)果 incude：表示在驗證過程中調(diào)用其他的PAM

7、配置文件（大多數(shù)是system-auth ） 模塊路徑 標(biāo)準(zhǔn)模塊（/lib/security/下的.so），使用模塊名（相對路徑） 其他模塊，使用絕對路徑名 模塊參數(shù) 可選項，根據(jù)具體模塊而定，多個參數(shù)間用空格分隔 配置文件分析 system-auth vsftpdsystem-auth#%PAM-1.0auth required pam_env.so使用/etc/security/pam_env.conf進行用戶登錄之后環(huán)境變量的設(shè)置auth sufficient pam_fprintd.so指紋識別auth sufficient pam_unix.so nullok try_first_p

8、ass使用傳統(tǒng)密碼auth requisite pam_succeed_if.so uid = 500 quiet 允許uid大于500的用戶在通過密碼驗證的情況下登錄auth required pam_deny.so 對所有不滿足上述任意條件的登錄請求直接拒絕account required pam_unix.so用戶需要通過密碼認(rèn)證account sufficient pam_localuser.so本地用戶account sufficient pam_succeed_if.so uid 500 quietaccount required pam_permit.so對所有類型的用戶登錄請求

9、都開放控制臺password requisite pam_cracklib.so try_first_pass retry=3驗證密碼強度，最多輸入3次password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtokpassword required pam_deny.sosession optional pam_keyinit.so revoke當(dāng)用戶登錄的時候為其建立相應(yīng)的密鑰環(huán)，并在用戶登出的時候予以撤銷 session required pam_limits.so限制用戶登錄時的會話連接資源

10、session success=1 default=ignore pam_succeed_if.so service in crond quiet use_uidsession required pam_unix.sovsftpd （第八章）#%PAM-1.0session optional pam_keyinit.so force revokeauth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeedauth required pam_shells.soauth incl

11、ude system-authaccount include system-authsession include system-authsession required pam_loginuid.soTCPWrappers與xinetd訪問控制inetd超級服務(wù)器 背景 一臺服務(wù)器往往提供很多服務(wù) 每個服務(wù)需要一個daemon 大量后臺運行的daemon會消耗系統(tǒng)資源 問題：能否在有服務(wù)請求時才啟動daemon，響應(yīng)請求后就結(jié)束？ 解決方法 使用單獨的服務(wù)代理，根據(jù)請求啟動運行相應(yīng)daemon，daemon運行完畢，服務(wù)代理將結(jié)果返回客戶端，這個代理就是inetd(internet daem

12、on)對比：xinetd(extended internete daemon) inetd的擴展版本，逐漸取代inetd 更加安全，提供一個額外的安全層，可以通過 “修改根目錄” 把服務(wù)隔離在一個目錄中何時使用inetd/xinetd 使用不頻繁的服務(wù)使用 使用頻繁的服務(wù)要用daemon，否則效率低下TCPWrappers基礎(chǔ) 工作原理：圖65 優(yōu)先獲取連接控制 根據(jù)訪問規(guī)則決定連接控制是否轉(zhuǎn)交給被請求的服務(wù) 檢查/etc/hosts.allow，如有匹配，允許連接 檢查/etc/hosts.deny，如有匹配，拒絕連接 以上2個都沒有匹配，允許連接 特性（P198）與優(yōu)勢 對客戶端和網(wǎng)絡(luò)服務(wù)

13、的透明性 集中式管理多項協(xié)議使用TCPWrappers控制網(wǎng)絡(luò)服務(wù)訪問 確定服務(wù)是否由TCPWrappers控制 ldd 可執(zhí)行文件名 | grep “l(fā)ibwrap” 主機訪問文件格式 /etc/hosts.allow /etc/hosts.deny : 主機訪問規(guī)則 例TCPWrappers和防火墻的區(qū)別 提供額外的保護層 提供某些防火墻不具備的功能 應(yīng)和防火墻共同使用使用xinetd集中管理服務(wù) xinetd超級服務(wù) 服務(wù)訪問控制 xinetd調(diào)用libwrap.a檢查TCP Wrappers主機訪問規(guī)則，如匹配拒絕規(guī)則，則阻斷連接，如匹配允許規(guī)則，則連接傳給xinetd xinetd檢查自身訪問規(guī)則，如匹配拒絕規(guī)則，則放棄連接，否則，啟動被請求的服務(wù)，讓客戶端連接到服務(wù)。 客戶端和服務(wù)端建立連接后，xinetd不再參與通信 xinetd 配置文件 全局配置：/etc/xinetd.conf