用PAM自定义身份验证

最新推荐文章于 2024-07-11 10:31:35 发布
最新推荐文章于 2024-07-11 10:31:35 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: Linux 应用系统 Linux 系统配置 应用服务 文章标签: PAM
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qevery678/article/details/89209963
版权

现在Linux系统使用 Pluggable Authentication Module (PAM),为服务和应用程序提供灵活的身份验证。

  • 很多 Linux应用程序都要求某种类型的身份验证。过去,每个身份验证感知的应用程序的编译,使用的是硬编码的关于运行应用程序的系统使用的身份验证机制的信息。改变或改进系统的身份验证机制会要求更新和重新编译所有使用该机制的应用程序,甚至当你有系统上所有相关应用程序的源代码时,这也是很枯燥的工作。
  • PAM 提供了一个灵活的动态的验证任何使用 PAM 的应用程序或服务的机制。用 Linux-PAM 库编译的应用程序或服务使用文本格式的配置文件来标识它们的身份验证要求。在系统中使用 PAM,可以轻松地修改身份验证要求或集成新的身份验证机制,只需在具体的应用程序或服务使用的PAM 配置文件中添加条目。

PAM 概述

PAM 是使用主要的Linux-PAM身份验证库编译的应用程序自动加载的共享库模块。使用PAM模块的应用程序一般称为PAM感知的应用程序。

  • PAM满足PAM感知的应用程序的不同的身份验证要求,很像可重用代码和库和应用程序的关系。例如,PAM 感知的 login 程序可以调用许多 PAM 进行检查,比如以根身份登录的用户是否在一个安全终端上,是否允许用户此时登录系统,还可满足其他类似的身份验证要求。因为PAM是共享库模块,PAM 感知的rsh程序可以重用“是否允许用户现在登录系统”之类相同的检查。PAM 还是 login 使用的 PAM,但应用的规则和 rsh 更相关一些。PAM模块本身现在通常都是存放在 /lib/security 目录,但有些老的 Linux 分发版把 PAM 保存在 /usr/lib/security 目录中。
  • 不同的 PAM 感知应用程序使用的 PAM 以两种方式定义。在现代 PAM 的实现中,PAM由/etc/pam.d目录中的特定于应用程序的配置文件控制。在比较老的 PAM 实现中,系统中应用程序使用的所有模块都在一个中央的配置文件 /etc/pam.conf 中定义。为了向后兼容系统仍支持老的方法,但不建议采用,同时鼓励使用现代方法,如果系统中两者同时存在,则使用 /etc/pam.d目录,而不是/etc/pam.conf文件的内容。此技巧把重点放在/etc/pam.d中的PAM 配置文件,因为多数现代系统就是这样使用 PAM 的。

应用程序 / 服务特定的 PAM 配置文件

/etc/pam.d目录中的每个PAM配置文件和它关联的PAM感知应用程序或服务同名,包含在身份验证过程中使用的 PAM 规则。要使用的配置文件的名称来自传递给 Linux-PAM库的pam_start()函数的第一个参数,即被验证的服务的名称(为了方便起见,配置文件和应用程序经常是同名的)。这些文件也包含注释,在传统的 # 标记之后的所有字符都是注释。

/etc/pam.d目录中一个文件的每个非注释行定义一个PAM模块如何用于相关的应用程序或服务的身份验证过程。每个文件包含 4 个用空白字符分隔的域,前三个是必需的。这些域的含义和内容如下所示:

(一) module-type

该行定义的PAM模块的类型,PAM模块的类型定义模块在身份验证过程中如何使用。有效值包括:

1、auth

标识一个验证用户身份或系统要求已经被满足的身份验证检查。常见系统要求包括一个服务可以在当前时间启动(例如,当用户登录
时不存在/etc/nologin文件),正使用一个可接受的设备(即设备在/etc/securetty 中列出),用户是否已经是根用户,等等。

2、account

验证用户是否能根据系统要求进行身份验证,如用户是否有一个有效账户,系统最大的用户数量,访问系统使用的设备,用户是否有
所请求应用程序或服务的访问权,等等。

3、password

验证一个用户更新身份验证机制的能力。每个auth条目通常有一个 password 类型的模块,绑定到一个可以更新的身份验证机制。

4、session

标识必须在相关的服务或应用程序激活之前,或该服务或应用程序终止前必须完成的任务所关联的模块。这种类型的模块一般执行像
挂接目录、记录审核跟踪信息或保证系统资源可用这样的系统功能。

(二) control-flag

指定的 PAM 模块的返回值的隐含意义。有效值为:

1、required

表示 PAM 模块对于指定的模块类型必须成功。指定模块类型(如所有标记为 auth 的模块类型)的任何 PAM 模块的失败都会被报
告 给 相 关 的 应 用 程 序 或 服 务 ,但 这 是 在 该 模 块 类 型 的 所 有required PAM 都执行过之后。

2、requisite

表示 PAM 模块的失败将立即被报告给相关的应用程序或服务。

3、sufficient

表示 PAM 模块的成功满足该模块类型的身份验证要求。如果以前没有PAM 失败过,不再执行关联的模块类型的其他PAM。标识为
sufficient 的 PAM 的失败将被忽略,只要该模块类型随后的required模块返回成功。如果以前的required PAM失败,标记为 sufficient 的 PAM 的成功将被忽略。

4、optional

表示 PAM 模块的成功对应用程序或服务不是关键的,除非指定的模块类型只有这一个模块。如果它是唯一的,它的成功或失败将决
定指定模块类型的成功或失败。

(三)module-path

和此条目关联的 PAM 模块的路径。PAM 模块默认位于 /lib/security,但是该域也可以标识位于其他目录中的模块,只需指定PAM模块的绝
对路径和文件名。

(四)arguments

可选的、特定于模块的参数。

清风的BLOG
关注
专栏目录
Linux PAM开发示例二:登录系统时使用自己的PAM模块进行密码认证
ljq32的专栏
07-31 2909
本文仅仅是一个示例,没有多余的说教内容,实现在登录Linux时命令行、图形界面、su等密码认证时使用自己的PAM模块进行密码认证,这个示例不需要编写应用程序,因为系统的登录程序就是应用程序,例如:login、su、lightdm。 1。编写PAM模块动态库 #include <stdio.h> #include <stdlib.h> #include <string.h> #include <security/pam_appl.h> #include &
linux安装pam认证模块,Linux PAM --插入式验证模块(Pluggable Authentication Module,PAM)...
weixin_33535402的博客
05-13 1166
http://www.ibm.com/developerworks/cn/linux/l-pam/http://www.linuxsir.org/bbs/thread211899.html插入式验证模块(Pluggable Authentication Module,PAM)API将公开一组功能,应用程序程序员可以使用这些功能来实现与安全性相关的功能,例如用户验证、数据加密、LDAP 等。在本文中...
使用 PAM 进行身份认证
weixin_34253539的博客
06-24 393
---- 可插拔的认证模块(Pluggable Authentication Modules,即PAM)技术用于实现应用程序的认证机制。在 PAM出现之前,认证工作是由程序员来完成的,如果管理员需要改变认证的方式只有通过修改源程序才能完成。PAM 的出现彻底改变了这种局面,它提供了一个框架和一套编程接口,并且基于PAM应用程序的认证过程是通过配制文件来定义的,这样不仅将决定权...
Linux-PAM鉴权模块
最新发布
icepopfh的博客
07-11 800
PAM全称叫作Pluggable Authentication Modules,译为可插拔验证模块。1995年起源于sun公司,PAM是一个框架,通过PAM框架提供的接口,应用程序可以不关心基层具体的实现过程,直接调用接口实现身份验证功能。PAM还有一个功能就是在用户空间就是先对用户的资源进行限制。PAM不是Linux内核的一个模块,而是一个许多Linux发行版系统的标准组件,使用这个组件为系统和应用程序提供身份验证的框架。
使用 PAM 进行统一身份的认证
01-17 1012
PAM是 PLUGGABLE AUTHENTICATION MODULES 的缩写.可插入的认证模块(并不是Linux指的模块)用于实现应用程序的认证机制, 是程序员或管理员不需要重新编写或编译程序就可以改变认证机制.在linux它已经被广泛的应用了, 例如: /etc/securitty /etc/onlogin /etc/ftpusers 实际上都是给它用的.你在登陆的时候的输入密码和你修改密
Linux-PAM认证
weixin_33851604的博客
06-28 507
在新主机更改用户密码的时候,经常会出现"passwd: Have exhausted maximum number of retries for service"的报错 [root@10-112-41-157 ~]# echo 'co4lgTdDD3iK7WYEJAyL0KT5pLXS0o3r' | passwd --stdin testpam Changing password for user...
PAM可插拔身份认证模块
wangchao2679的博客
05-15 834
PAM
PAM认证机制
顺其自然~专栏
03-02 2046
其他数据库将仅从文件中获取。PAM 模块可以提供各种类型的身份验证,例如基于密码的身份验证、基于证书的身份验证、双因素身份验证等。2.passwd开始调用PAM模块,PAM模块会搜寻passwd程序的PAM相关设置文件,这个设置文件一般是在/etc/pam.d/里边的与程序同名的文件,即PAM会搜寻/etc/pam.d/passwd此设置文件。认证库有文本文件,MySQL数据库,NIS ,LDAP等,这些库所对应的系统模块位于/lib64/security/目录下的所有库文件(以".so"后缀的文件)。
swift-采用Swift编写PAM身份验证插件使用生物识别信息(touchID)
08-15
在本主题中,我们将深入探讨如何使用Swift编写一个PAM(Pluggable Authentication Modules)身份验证插件,并利用生物识别技术,特别是Touch ID,来增强用户的安全体验。 PAM是一种灵活的身份验证框架,允许开发者...
掌握PAM:Linux身份验证、授权和账户管理
PAM的主要作用是将身份验证和授权的任务与应用程序分离,使得系统管理员可以独立管理和修改身份验证策略,而不需要修改应用程序的源代码。这样,系统管理员可以根据实际需求选择不同的认证方式,并且可以随时更改和...
Linux账号实现Apache身份验证
12-19
为了确保服务器的安全,设置身份验证是至关重要的一步。本教程将详细介绍如何在Ubuntu 11.10系统上利用Linux本地账号实现Apache的身份验证。 首先,我们需要安装Apache2服务器。Apache2是Apache HTTP服务器的最新...
pam_login.zip_PAM login_PAM login_linux login p_linux pam _linu
09-19
PAM(Pluggable Authentication Modules)是Linux操作系统中一个核心组件,用于管理用户身份验证、授权和服务。在“pam_login.zip”这个压缩包中,我们很可能会找到有关PAM如何处理Linux系统的登录过程的源代码。这...
Linux中pam认证详解,linux中pam认证解析
weixin_39686634的博客
05-15 352
pam认证机制:简单来说就是linux系统采取的这一种对不同用户以及系统中的不同服务进行的安全认证机制。认证流程:linux系统首先确定所需认证的服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证。举个例子,我们登陆的时候,会向 PAM 发出验证要求的通知, PAM 经过一连串的验证后,将验证的结果回报给该程序,然后...
基于Linux安全验证添加自定义PAM模块
qq_33571718的博客
02-17 6040
声明:本博文用于学习总结及工作心得 环境: Ubuntu 14.04 、PAM 1.2.1 ,需要root权限,以及C语言知识 首先需要了解什么是PAM: AM即可插拔认证模块。它提供了对所有服务进行认证的中央机制,适用于login,远程登录(telnet,rlogin,fsh,ftp,点对点协议(PPP)), su等应用程序中。系统管理员通过PAM配置文件来制定不同应用程
Linux下PAM认证详解(以centos7为例)
高性价比服务器就选:蓝易云
08-14 806
它允许系统管理员灵活地配置和集成不同的身份验证模块。需要注意的是,对PAM配置文件的修改需要谨慎操作,以免导致认证系统的不可用或存在安全风险。在修改PAM配置文件之前,建议先备份原始配置文件,并仔细了解每个模块的功能和影响。根据具体需求,你可以进一步研究和调整PAM配置文件以满足系统的安全和认证要求。通过编辑PAM配置文件,你可以根据需求定制系统的身份验证过程。可以添加、删除或修改PAM模块条目,以满足特定的认证需求。PAM配置文件由一系列的模块条目组成,每个条目对应一个PAM模块。
Linux PAM开发示例一:让自己的程序使用PAM认证方式
ljq32的专栏
07-31 3327
不对PAM模块机制做深入讲解,网上一堆文章已经把这个事儿做了,这里仅仅是PAM的实现示例以记录自己的学习过程和成果。 本文仅仅实现一个PAM示例,即一个用户程序通过PAM机制进行密码认证,编写一个用户程序,编写一个pam模块动态库即可完成这个功能。 一。PAM介绍 Linux-PAM(即linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用(重新编写)重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制,这种方式下,就算升级本地认证机制,也不用修
基于PAM自定义ssh登陆认证
李老板的移动安全杂货铺
12-02 722
/ 替换为约定的口令。注意:这只是一个简单的示例代码,实际项目中请根据需求进行适当的修改和完善。// 提示用户输入约定的口令。// 获取对话函数指针。// 验证约定的口令。
PAM | 账户安全 | 管理
梓芮
02-18 1508
PAM(Pluggable Authentication Modules,可插入式身份验证模块)是一个灵活的身份验证系统,允许我们通过配置和组合各种模块来实现不同的身份验证策略。以上只是一些常见的 PAM 模块,实际还有许多其他模块可用于不同的身份验证需求。限制账号安全的配置涉及很多步骤,包括密码策略、访问控制、身份验证、日志和监控等。Linux系统的账户安全是保护系统免受未授权访问和潜在威胁的关键方面。
Linux系统管理——系统安全及应用
henanchenxuyuan的博客
04-30 529
John the Ripper 是一款开源的密码破解工具,能够在已知密文的情况下快速分析出明 文的密码字串,支持 DES、MD5 等多种加密算法,而且允许使用密码字典(包含各种密码 组合的列表文件)来进行暴力破解。只要获得用户的命令历史文件,该用户的命令操作过程将会一览无余,如果曾经在 命令行输入明文的密码,则无意之中服务器的安全壁垒又多了一个缺口。在执行过程中,分析出来的弱口令账号将即时输出,第一列为密码字串,第二列的括号 内为相应的用户名(如用户 kadmin 的密码为“123456”)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值