首页 > 代码库 > linux系统安全及应用——PAM安全认证

linux系统安全及应用——PAM安全认证

一、PAM认证模块介绍

  PAM认证模块,叫做可插拔式的认证模块。一项重要的功能就是为了加强su命令的使用控制,可以借助于PAM认证模块,只允许极个别用户使用su命令进行切换。PAM提供了对所有服务进行认证的中央机制,适用于login,远程登录(telnet,rlogin,fsh,ftp),su等应用程序中,系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略。

  PAM认证首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证。用户访问服务器的时候,服务器某一个服务程序把用户的请求发送到PAM模块进行认证,不用的应用程序对应的PAM模块也是不同的。

二、PAM认证用法

  如果想查看某个程序是否支持PAM认证,那么可以进行过滤,例如:

  ~] #ls /etc/pam.d | grep su(这里su是一个文件,一个配置文件,与服务同名,修改它就是对su进行认证配置)

  例如查看su的PAM配置文件:cat  /etc/pam.d/su  每一行都是一个独立的认证过程,每一行可以区分为三个字段:1)认证类型 2)控制类型 3)PAM模块及其参数。

下面简单的介绍四种常见认证类型

  (1)认证管理(authentication management)接受用户名和密码,进而对该用户的密码进行认证

  (2)账户管理(account management)检查账户是否被允许登录系统,账号是否已经过期,账号的登录是否有时间段的限制等

  (3)密码管理(password management)主要是用来修改用户的密码

  (4)会话管理(session management)主要是提供对会话的管理和记账(accounting)

那么控制类型也可以称做Control Flags,用于PAM验证类型的返回结果,具体有以下四种:

  (1)required验证失败时仍然继续验证,但返回Fail

  (2)requisite验证失败则立即结束整个验证过程,返回Fail

  (3)sufficient验证成功则立即返回,不再继续,否则忽略结果并继续

  (4)optional不用于验证,只是显示信息(通常用于session类型)

三、PAM验证流程

  技术分享

下面解读验证示例表格

  以use1举例,第一个required控制类型通过调用module1模块,进行验证通过后,进入sufficient控制类型,通过后,进入required控制类型,N/A代表不需要再执行了,结果就是验证成功。

  技术分享

四、案例分析

  例:控制用户使用su命令进行切换

  1)、启用/etc/pam.d/su中的pam_wheel模块

  pam_rootok:检查用户是否为超级用户,如果是超级用户(uid=0)则无条件地通过认证

  pam_wheel:只允许wheel组的用户有超级用户的存取权限(只有wheel组里的人有su命令权限)

  2)添加授权用户bob到wheel组

  3)测试:bob可以切换到root,其他用户不能切换

具体操作方法:

  ~] #vim /etc/pam.d/su 

  添加一行或者放行注释

  auth        required         pam_wheel.so  use_uid

  ~] #gpasswd -a bob  wheel

  

linux系统安全及应用——PAM安全认证