首页 > 代码库 > 硬件检测--认证和授权

硬件检测--认证和授权

bios告诉vmlinuz有什么硬件,vmlinuz附带了一些基本的硬件驱动,vga和鼠标,键盘等的驱动,

而其他的驱动,类似于文件系统,硬盘的驱动,则放置在initrd中,减少kernel的空间占用

如果不是第一次启动,则需要一个新旧硬件的比对,kuduz 发现新硬件,然后根据/etc/sysconfig/hwconf

如果挂接老的硬件,需要添加的参数以及如何挂接需要参考/etc/modprobe.conf

如果是新硬件,需要修改这两个文件

modules里面有硬件信息

对比modules.alias根据厂商的硬件信息,识别出新硬件的信息

模块的具体的位置存储在modules.dep,也存储了模块的依赖关系


硬件的发现过程

实验:

1,给本机添加reiserfs的模块,让系统支持rfs的文件系统

kernel.org放置的kernel不能用在企业级的

必须用redhat测试过kernel   (下载源代码,并打上补丁,生成打过补丁的源代码)

lftp ftp.redhat.com

>ls

>cd redhat


[root@localhost linux-2.6.18.i686]# uname -r确定自己的系统版本号

2.6.18-128.el5

[root@localhost tmp]# rpm -ivh kernel-2.6.18-128.4.1.el5.src.rpm 安装相应的的内核

warning: user mockbuild does not exist - using root

warning: group mockbuild does not exist - using root

warning: user mockbuild does not exist - using root

warning: group mockbuild does not exist - using root

warning: user mockbuild does not exist - using root

warning: group mockbuild does not exist - using root

warning: user mockbuild does not exist - using root

warning: group mockbuild does not exist - using root 

. 这里报错是因为rpm包是官网下载打包好的,打包所使用的root用户是redhat打包时候的用户

.

.

warning: user mockbuild does not exist - using root

warning: group mockbuild does not exist - using root

[root@localhost tmp]# cd /usr/src/redhat/   进入目录

[root@localhost redhat]# ls

BUILD   RPMS   SOURCES   SPECS   SRPMS

目录分别代表什么意义

BUILD(用来执行创建rpm的工作目录)编译的中间文件,解开的原代码放那里去

SOURCES源代码文件以及patch文件,rpm默认寻找目录

SPECS此目录存放源代码编译的时候的配置文件

SRPMS半成品,放置原代码包,编译出来的src的rpm包(*src.rpm),(包含了sources+specs,为了遵循GPL的协议,公布出去)

RPMS编译后产生的所有的rpm的文件

[root@localhost redhat]# cd SPECS/

[root@localhost SPECS]# ls

kernel-2.6.spec

[root@localhost SPECS]# rpmbuild -bp --target i686 kernel-2.6.spec

(其中p把pre的部分做完#spec文件中包含了pre,post等部分

Building target platforms: i686

Building for target i686

Executing(%prep): /bin/sh -e /var/tmp/rpm-tmp.2082

+ umask 022

+ cd /usr/src/redhat/BUILD

+ LANG=C

+ export LANG

+ unset DISPLAY

+ ‘[‘ ‘!‘ -d kernel-2.6.18/vanilla ‘]‘

+ rm -f pax_global_header

+ cd /usr/src/redhat/BUILD

+ rm -rf kernel-2.6.18

.

.

.

.

+ patch -p1 -s

+ exit 0

[root@localhost SPECS]# cd ../BUILD/

[root@localhost BUILD]# ls

kernel-2.6.18

[root@localhost BUILD]# cd kernel-2.6.18/  到build目录下的kernel

[root@localhost kernel-2.6.18]# ls

config  Config.mk  linux-2.6.18.i686  vanilla  xen

[root@localhost kernel-2.6.18]# cd linux-2.6.18.i686/

[root@localhost linux-2.6.18.i686]# ls

arch     CREDITS        fs       Kbuild       Makefile  REPORTING-BUGS  sound

block    crypto         include  kernel       mm        samples         usr

configs  Documentation  init     lib          net       scripts

COPYING  drivers        ipc      MAINTAINERS  README    security

[root@localhost linux-2.6.18.i686]# uname -r

2.6.18-128.el5

[root@localhost linux-2.6.18.i686]# vim Makefile 

将    把 makefile的标识EXTRAVERSION改成当前的内核 e.g:EXTRAVERSION= -128.el5

EXTRAVERSION = -prep

修改为

EXTRAVERSION = -128.el5

保存退出


[root@localhost linux-2.6.18.i686]#make menuconfig 告诉kernel编译这个模块

File system ---->Reiserfs  support-->选择:stats...../ReiserFs..../ReiserFs....ReiserFs....

保存退出

[root@localhost linux-2.6.18.i686]# make prepare    内核预执行

scripts/kconfig/conf -s arch/i386/Kconfig

  CHK     include/linux/version.h

  UPD     include/linux/version.h

  CHK     include/linux/utsrelease.h

  UPD     include/linux/utsrelease.h

  SYMLINK include/asm -> include/asm-i386

  CC      arch/i386/kernel/asm-offsets.s

  GEN     include/asm-i386/asm-offsets.h

[root@localhost linux-2.6.18.i686]# make modules_prepare  内核模块的预执行

  CHK     include/linux/version.h

  CHK     include/linux/utsrelease.h

  HOSTCC  scripts/genksyms/genksyms.o

[root@localhost linux-2.6.18.i686]# make M=fs/reiserfs/   依赖模块要逐层make

                                           模块的具体路径

  WARNING: Symbol version dump /usr/src/redhat/BUILD/kernel-2.6.18/linux-2.6.18.i686/Module.symvers

           is missing; modules will have no dependencies and modversions.


  LD      fs/reiserfs/built-in.o

  CC [M]  fs/reiserfs/bitmap.o

  CC [M]  fs/reiserfs/do_balan.o

  CC [M]  fs/reiserfs/namei.o

  CC [M]  fs/reiserfs/inode.o   结束后有reiserfs.ko即所需的模块

[root@localhost linux-2.6.18.i686]# insmod fs/reiserfs/reiserfs.ko 

 #手动添加reiserfs.ko模块,位置可以在任意地方 

[root@localhost linux-2.6.18.i686]# lsmod |grep reiserfs  查看系统加载模块有没有挂接好

reiserfs              211588  0 

[root@localhost linux-2.6.18.i686]# ls

arch   configs  CREDITS  Documentation  fs       init  Kbuild  lib          Makefile  net     REPORTING-BUGS  scripts   sound

block  COPYING  crypto   drivers        include  ipc   kernel  MAINTAINERS  mm        README  samples         security  usr

[root@localhost kernel-2.6.18]# rmmod reiserfs    #删除rfs模块

[root@localhost kernel-2.6.18]# lsmod |grep reiserfs

[root@localhost linux-2.6.18.i686]#

mkdir /lib/modules/2.6.18-128.el5/kernel/fs/reiserfs 创建文件夹

[root@localhost linux-2.6.18.i686]# install -m 755 -d /lib/modules/2.6.18-128.el5/kernel/fs/reiserfs/

[root@localhost linux-2.6.18.i686]# depmod -a 生成modules.dep文件

[root@localhost linux-2.6.18.i686]# 

grep reiserfs /lib/modules/2.6.18-128.el5/modules.dep 

[root@localhost linux-2.6.18.i686]# lsmod |grep reiserfs  查看系统加载模块有没有挂接好

reiserfs              211588  0 

[root@localhost reiserfs]# 

install -m 755 -t /lib/modules/2.6.18-128.el5/kernel/fs/reiserfs/ /usr/src/redhat/BUILD/kernel-2.6.18/linux-2.6.18.i686/fs/reiserfs/reiserfs.ko 

Install   -m  755  -t (单个文件)   源目标    目的目标

                   -d (整个目录)

手动拷贝需要先设定权限,copy后再给文件设置权限

安装rfs模块到指定的位置

#make install 就是调用install命令,就是将产生的文件copy到相应的位置

[root@localhost reiserfs]# depmod -a

[root@localhost reiserfs]# modprobe reiserfs

[root@localhost reiserfs]# modinfo reiserfs  查看模块的信息

filename:       /lib/modules/2.6.18-128.el5/kernel/fs/reiserfs/reiserfs.ko

license:        GPL

author:         Hans Reiser <reiser@namesys.com>

description:    ReiserFS journaled filesystem

srcversion:     75AFFF93098091BCAD10C8A

depends:        

vermagic:       2.6.18-128.el5 SMP mod_unload 686 REGPARM 4KSTACKS gcc-4.1

[root@localhost reiserfs]# module_sig红帽子的官方签名






































[root@localhost bootinitrd]# zcat initrd-2.6.18-128.el5.img | cpio -i

11745 blocks

[root@localhost bootinitrd]# ls -R

\.:

bin  dev  etc  init  initrd-2.6.18-128.el5.img  lib  proc  sbin  sys  sysroot


./bin:

dmraid  insmod  kpartx  modprobe  nash


./dev:

console  null  ram   ram1  systty  tty0  tty10  tty12  tty3  tty5  tty7  tty9   ttyS1  ttyS3

mapper   ptmx  ram0  rtc   tty     tty1  tty11  tty2   tty4  tty6  tty8  ttyS0  ttyS2  zero


./dev/mapper:


./etc:


./lib:

ata_piix.ko      dm-message.ko  dm-region_hash.ko  firmware   mptbase.ko   ohci-hcd.ko  scsi_transport_spi.ko  vmxnet3.ko

dm-log.ko        dm-mod.ko      ehci-hcd.ko        jbd.ko     mptscsih.ko  pvscsi.ko    sd_mod.ko              vmxnet.ko

dm-mem-cache.ko  dm-raid45.ko   ext3.ko            libata.ko  mptspi.ko    scsi_mod.ko  uhci-hcd.ko


./lib/firmware:


./proc:


./sys:


./sysroot:




权限和认证

login 我是谁

su 我想成为谁

sudo 我想作某件事情,可以作某件事情,需要作一件事情,授权

授权在suid sgid

使用这个文件的时候拥有文件拥有者的权限

sgid,某个组的权限


认证可以有多种方式,passwd+shadow 标准unix的认证方式,login调用一个 pam的模块,pam.so,包括pamunix.so pam.md5.so

login把用户给的用户名字和密码给pam判断是否成功,然后给login返回信息成功还是不成功

认证本身和程序相关,如果程序需要的话,就需要

NIS 是远端的yppasswd ypshadow

如果login包含认证,则需要重新写程序,但是现在只需要写程序,需要修改的用模块的定义

认证不止是su在用,login,

可插入性的认证方式的好处,统一认证,与程序无关,用户透明  (pam机制)



授权,要给用户授权要有一个基准

配置,可以是文件本身上的认证 (suid sgid acl权限,

附加授权权限 setfacl,为了和windows连用,

为了使文件被kevin写,tube读,told写,mark读,如果还有一个其他的用户,则不方便设置


实验2

#mount -o remount,acl /myfiles/

给某一个分区作

#cd /myfiles/testdir 

#mkdir dir 

#setfacl -m u:kevin:rwx dir 

m是modules u用户还是组,kevin用户还是组名 

#getfacl dir

kevin有了rwx的权限


使用acl使的系统性能下降17%

需要去查看用户的权限,然后去比对


htpasswd也是一种授权方式,mysql的用户的认证,哪些用户能对哪些表做什么事情


安全也就是授权和认证

认证和授权都是针对程序的,程序本身不需要授权,则可以跳过去




从用户登录开始,

login登录的提示符,登录的认证程序,inittab 产生的 tty终端调用的login,如果调用的是需要认证的则去找pam机制

终端登录调用的是允许在哪些终端登录,在/etc/securetty

判断是否有nologin的文件,如果存在,普通用户是不可以登录的

passwd认证是否存在该用户,是否可以登录shell

用户的

(0,多长时间可以改密码

最后是0或者1,则不能登录)

shadow看用户是否过期了


minetty --autologin root tty1

跳过认证自动登录

man minetty查看参数


/etc/pam.d/login

去查看/etc/nologin是否存在,如果存在,则不允许登录

进去了,但是被T出来了


tty错误/etc/securetty,删除了tty3,则tty3不允许的登录

从安全的角度考虑,一般只开两个tty的登录许可


tty调用的pam.d/login



登录管理器 gdm 用的不是login



2,用户登录


3,motd文本的信息


4,pam决定了家目录的位置,如果是本地的则去找 /etc/passwd,进入到/


5,启动shell,csh,tcsh,zsh,nash 

判断用户使用哪种shell

执行/etc/profile下面的*.sh

系统有很多的shell,需要各自的环境,以单独的一个文件放置到 profile

conf 其中conf.d设置的是为了修改局部的配置,而不影响整体的配置


图形登录的时候执行xterm的,bash子 shell,之后执行bashrc

tty的时候先读取.bash_profile后,执行bashrc


用户自己决定是否执行 /etc/bashrc


退出的时候不保留记录 kill -9 0


/etc/skel包含了profile,bashrc等配置文件,添加用户的时候拷贝过去

可以放置木马


initrd.img只需要放置本地启动需要的

安装需要防止所有可能的模块,可能需要各种板卡的驱动


1,用于启动的initrd.img

cp /boot/initrd*.img

mkdir /tmp/bootinitrd

zcat ../initrd*.img | cpio -i 

#-i input

#cpio用在纸带机上

#tar最早用在磁带机


dmraid lvm如果根是 raid 或者lvm则能识别出来


kpartx硬件虚拟化 mutipath

双hba卡+一个storage

两个卡认到2个设备

虚拟成一个设备



cd bootinitrd 

#解压开来

zcat ../initrd-2.6.18-128.el5.img | cpio -i

去掉lib中的ext3.ko,然后重新生成

#重新生成

find ./ | cpio -H newc -o > ../initrd.my

#以最高压缩比压缩

gzip -9 initrd.my


2,用于安装的 initrd.img

mkdir installinitrd

cd !$


解压开来之后

modules/pci.ids

作业:

查找pci.ids在系统中的哪个位置

dmesg

pci.ids由org提供


mkdir modules

mkdir 2.6.18-164.el5/i686/


zcat ../* | cpio -i


el4 initrd的制作方法

ext2的initrd

dd if=/dev/zero of=/tmp/initrddir bs=1M count=8

mkfs.ext2 initrddir

mount 

cp -a bootinitrd initrddir

gzip -9 initrddir


initrd.img然后去lib/modules-modules_alias 先去比对,然后去.dep去找位置


本文出自 “梦女孩” 博客,谢绝转载!

硬件检测--认证和授权