Linux进阶_PAM认证机制

PAM认证机制

PAM:Pluggable Authentication Modules
认证库：文本文件，MySQL，NIS，LDAP等
Sun公司于1995 年开发的一种与认证相关的通用框架机制
PAM 是关注如何为服务验证用户的 API，通过提供一些动态链接库和一套统一的API，将系统提供的服务和该服务的认证方式分开
使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序
一种认证框架，自身不做认证
它提供了对所有服务进行认证的中央机制，适用于本地登录，远程登录，如：telnet,rlogin,fsh,ftp,点对点协议PPP，su等应用程序中，系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略；应用程序开发者通过在服务程序中使用PAM API(pam_xxxx( ))来实现对认证方法的调用；而PAM服务模块的开发者则利用PAM SPI来编写模块（主要调用函数pam_sm_xxxx( )供PAM接口库调用，将不同的认证机制加入到系统中；PAM接口库（libpam）则读取配置文件，将应用程序和相应的PAM服务模块联系起来

PAM架构

PAM相关文件

1. 模块文件目录：/lib64/security/*.so
2. 环境相关的设置：/etc/security/
3. 主配置文件：/etc/pam.conf，默认不存在
4. 为每种应用模块提供一个专用的配置文件：/etc/pam.d/APP_NAME
   注意：如/etc/pam.d/存在，/etc/pam.conf将失效

pam认证原理

1. PAM认证一般遵循这样的顺序：Service(服务)→PAM(配置文件)→pam_*.so
2. PAM认证首先要确定那一项服务，然后加载相应的PAM的配置文件(位于/etc/pam.d下)，最后调用认证文件(位于/lib64/security下)进行安全认证
   

PAM认证机制

• PAM认证过程：
  1.使用者执行passwd程序，并输入密码
  2.passwd开始调用PAM模块，PAM模块会搜寻passwd程序的PAM相关设置文件，这个设置文件一般是在/etc/pam.d/里边的与程序同名的文件，即PAM会搜寻/etc/pam.d/pam_unix_passwd.so此设置文件
  3.经由/etc/pam.d/pam_unix_passwd.so设定文件的数据，取用PAM所提供的相关模块来进行验证
  4.将验证结果回传给passwd这个程序，而passwd这个程序会根据PAM回传的结果决定下一个动作（重新输入密码或者通过验证）
  

PAM的配置文件

1. 通用配置文件/etc/pam.conf格式
   application type control module-path arguments
2. 专用配置文件/etc/pam.d/* 格式
   type control module-path arguments
3. 说明：
   • 服务名（application）
     telnet、login、ftp等，服务名字“OTHER”代表所有没有在该文件中明确配置的其它服务
   • 模块类型（module-type）
     control PAM库该如何处理与该服务相关的PAM模块的成功或失败情况
     module-path 用来指明本模块对应的程序文件的路径名
     Arguments 用来传递给该模块的参数
     Auth 账号的认证和授权
     Account 与账号管理相关的非认证类的功能，如：用来限制/允许用户对某个服务的访问时间，当前有效的系统资源(最多可以有多少个用户)，限制用户的位置(例如：root用户只能从控制台登录)
     Password 用户修改密码时密码复杂度检查机制等功能
     Session 用户获取到服务之前或使用服务完成之后需要进行一些附加的操作，如：记录打开/关闭数据的信息，监视目录等
     -type 表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用
4. 简单方式实现：一个关健词实现
   • required ：一票否决，表示本模块必须返回成功才能通过认证，但是如果该模块返回失败，失败结果也不会立即通知用户，而是要等到同一type中的所有模块全部执行完毕再将失败结果返回给应用程序，即为必要条件
   • sufficient ：一票通过，表明本模块返回成功则通过身份认证的要求，不必再执行同一type内的其它模块，但如果本模块返回失败可忽略，即为充分条件
   • optional ：表明本模块是可选的，它的成功与否不会对身份认证起关键作用，其返回值一般被忽略
   • include： 调用其他的配置文件中定义的配置信息
5. 复杂详细实现：使用一个或多个“status=action”
   [status1=action1 status2=action …]
   • Status:检查结果的返回状态
   • Action:采取行为 ok，done，die，bad，ignore，reset
     ok 模块通过，继续检查
     done 模块通过，返回最后结果给应用
     bad 结果失败，继续检查
     die 结果失败，返回失败结果给应用
     ignore 结果忽略，不影响最后结果
     reset 忽略已经得到的结果

• module-path: 模块路径
  + 相对路径：
  /lib64/security目录下的模块可使用相对路径
  如：pam_shells.so、pam_limits.so
  + 绝对路径：
• 模块通过读取配置文件完成用户对系统资源的使用控制
  /etc/security/*.conf
  注意：修改PAM配置文件将马上生效
  建议：编辑pam规则时，保持至少打开一个root会话，以防止root身份验证错误
  Arguments 用来传递给该模块的参数

pam文档说明

/user/share/doc/pam-*
rpm -qd pam
man 模块名 (如man pam_rootok)
Linux-PAM系统管理员指南:《The Linux-PAM System Administrators’ Guide》

PAM模块示例

模块：pam_shells

• 功能：检查有效shell
• man pam_shells
• 示例：不允许使用/bin/csh的用户本地登录

vim /etc/pam.d/login
      添加 auth required pam_shells.so
vim /etc/shells
      去掉 /bin/csh

#添加用户，指定为csh
useradd –s /bin/csh testuser
#testuser将不可登录
tail /var/log/secure

模块：pam_securetty.so

• 功能：只允许root用户在/etc/securetty列出的安全终端上登陆
• 示例：允许root在telnet登陆

vi /etc/pam.d/remote
      #将下面一行加上注释
      #auth required pam_securetty.so 
#或者/etc/securetty文件中加入：pts/0,pts/1…pts/n

模块：pam_nologin.so

• 功能：
  1. 如果/etc/nologin文件存在,将导致非root用户不能登陆
  2. 如果用户shell是/sbin/nologin 时，当该用户登陆时，会显示/etc/nologin文件内容，并拒绝登陆

模块：pam_limits.so

• 功能：在用户级别实现对其可使用的资源的限制，例如：可打开的文件数量，可运行的进程数量，可用内存空间
• 修改限制的实现方式：
  (1) ulimit命令，立即生效，但无法保存
  -n 每个进程最多的打开的文件描述符个数
  -u 最大用户进程数
  -S 使用 soft（软）资源限制
  -H 使用 hard（硬）资源限制
  (2) 配置文件：/etc/security/limits.conf, /etc/security/limits.d/*.conf
  配置文件：每行一个定义:<domain> <type> <item> <value>
  1. <domain> 应用于哪些对象
  Username 单个用户
  @group 组内所有用户
  * 所有用户
  2. <type> 限制的类型
  Soft 软限制,普通用户自己可以修改
  Hard 硬限制,由root用户设定，且通过kernel强制生效
  - 二者同时限定
  3. <item> 限制的资源
  nofile 所能够同时打开的最大文件数量,默认为1024
  nproc 所能够同时运行的进程的最大数量,默认为1024
  4. <value> 指定具体值
   
• 命令：ulimit

选项	意义	示例	解释
-H	设置硬资源限制，一旦设置不能增加	ulimit -Hs 64	限制线程栈大小为64K
-S	设置软资源限制，设置后可以增加	ulimit -Sn 32	限制最大32个文件描述符
-a	显示当前所有的limit信息	ulimit -a	显示当前所有的limit信息
-c	最大的core文件的大小，单位blocks	ulimit -c unlimited	对生成的core文件不限制
-d	进程最大的数据段大小，单位K	ulimit -d unlimited	不限制进程数据段大小
-f	最大可以加锁内存大小，单位blocks	ulimit -f 2048	限制进程可以创建最大文件为2048blocks
-l	最大可加锁内存大小，单位K	ulimit -l 32	限制最大可加锁内存大小为32K
-m	最大内存大小，单位K	ulimit -m unlimited	对最大内存不做限制
-n	可以打开最大的文件描述符数量	ulimit -n 128	可以最大使用128个文件描述符
-p	管道缓冲区大小，单位K	ulimit -p 512	限制管道缓冲区大小为512K
-s	线程栈大小，单位K	ulimit -s 512	限制线程栈大小为512K
-t	最大的CPU占用时间，单位秒	ulimit -t unlimited	对最大CPU占用时间不限制
-u	用户最大可用进程数	ulimit -u 64	限制用户最多可用64个进程
-v	进程最大可用虚拟内存，单位K	ulimit -v 2000	限制最大可用2000K虚拟内存

• 示例：限制用户最多打开的文件数和运行进程数

[root]$ vim /etc/pam.d/system-auth
      session required pam_limits.so
[root]$ vim /etc/security/limits.conf
      apache – nofile 10240 #用户apache可打开10240个文件
      student hard nproc 20 #用户student不能运行超过20个进程

• 生产案例

      *  soft  core  unlimited
      *  hard  core  unlimited
      *  soft  nproc  1000000
      *  hard  nproc  1000000
      *  soft  nofile  1000000
      *  hard  nofile  1000000
      *  soft  memlock  32000
      *  hard  memlock  32000
      *  soft  msgqueue  8192000
      *  hard  msgqueue  8192000