Linux 名称解析服务与

最新推荐文章于 2023-06-27 19:52:25 发布
最新推荐文章于 2023-06-27 19:52:25 发布
阅读量393 收藏 1
点赞数
文章标签: 操作系统 运维 shell
原文链接:https://my.oschina.net/innovation/blog/3064083
版权

Linux名称解析服务(nss)与验证机制(pam)

名称解析服务

nsswitch:网络服务转换开关

配置文件/etc/nsswitch.conf,这个配置文件可以为众多的名称解析机制提供名称解析库。

例如:

hostname:file dns

 当解析主机名时有两种手段,先去文件中去找,当找不到了才去dns

root解析到UID必须通过应用程序查找文件找到对于的id号,这些应用程序就是库文件。

现在看看库文件

cd /usr/lib , ubuntu 为 /lib/x86_64-linux-gnu

ls | grep nss可以得到:

Linux名称解析服务(nss)与验证机制(pam)

上面例子中指定为file就可以到libnss_files.so库文件中查找。

 下面看下/etc/nsswitch.conf里面的内容:

文件nsswitch.conf中的每一行配置都指明了如何搜索信息,比如用户的口令。nsswitch.conf每行配置的格式如下:

信息:方法[动作项]。。。。。

例如 hosts:          dns [!UNAVAIL=return] files   信息为hosts  方法为dns 动作项为[!UNAVAIL=return] files是另一个方法。

信息内容可查看man nsswitch.conf

方法有:

files       搜索本地文件,如/etc/passwd和/etc/hosts

nis         搜索NIS数据库,nis还有一个别名,即yp

dns         查询DNS(只查询主机)

compat      passwd、group和shadow文件中的±语法

动作项:

STATUS

 STATUS的取值如下。

l    NOTFOUND——方法已经执行,但是并没有找到待搜索的值。默认的动作是continue。

l    SUCCESS——方法已经执行,并且已经找到待搜索的值,没有返回错误。默认动作是return。

l    UNAVAIL——方法失败,原因是永久不可用。举例来说,所需的文件不可访问或者所需的服务器可能停机。默认的动作是continue。

l    TRYAGAIN——方法失败,原因是临时不可用。举例来说,某个文件被锁定,或者某台服务器超载。默认动作是continue。

action

 action的取值如下:

l    return——返回到调用例程,带有返回值,或者不带返回值。

l    continue——继续执行下一个方法。任何返回值都会被下一个方法找到的值覆盖。

** 认证服务**

认证服务也是由库文件完成,库文件在/lib/security或者/lib64/security下

配置文件在/etc/pam.d下以login举例,可以看到如下内容

Linux名称解析服务(nss)与验证机制(pam)
auth:认证用户所输入的帐号密码是否匹配

account:审核用户帐号是否有效

password:用户修改密码是否被允许,密码是否符合要求。

session:会话定义操作过程相关属性

多行是指每一种认证有多种手段。

/etc/pam.d/service(必须小写)格式

type  control  module-path  module-arguments

type:有auth、account、password、session

control :当某一种类型有多个时,多行之间如何建立关系(require:必须的过,如果没通过则不通过但是还要一定要检查同组其他的,requisite如果不过,后面不需在检查,一定不过,sufficient:如果过了则过来,后面不需要检查,optional:可选,include:权利移交给其它)

module-path:完成功能的模块

几个常用模块

1、pam_unix在password,shadow验证用户时用到,选项nullok(运行为空)shadow(基于shadow格式密码) md5(加密算法)

2、pam_permit:运行访问

3、pam_deny:拒绝访问

4、pam_cracklib.so:检查密码通过字典查看是否容易破解,选项minlen:密码最短长度,difok:密码与此前是否相同,dcredit=N,包含记为数字,ucredit=N,包含几位大写字母 lcredit=N,小写字母 ocredit=N,特殊字符,retry=N,最多尝试多少次

5、pam_shell:用户登录默认shell为/etc/shells,检测合法shell

6、pam_securetty:限定管理员只能特殊设备登陆, 设备在/etc/securetty中写明

7、pam_listfile:到某一文件验证某一服务用户帐号的允许与拒绝item=tty/user/ruser/group/shell/rhost

sense=allow/deny  file=/path/filename onen(出现故障)=[succeed(通过)/fail(不通过)] [apply=[user/@group]][quiet]

8、pam_rootok:只要root用户就可以

9、pam_limits:一次会话里面能够使用系统资源的限定。配置文件在/etc/security/limits.conf或者是/etc/security/limits.d/,普通用户只能软限制,普通用户用命令ulimit来调整 -u用户所能打开最大进程数,-n修改打开最大文件数

10、pam_env在用户登录根据/etc/security/pam_env.conf来为用户设置环境变量。

11、pam_wheel用来设定哪些用户可以su到root,只要wheel中用户才可以

12、pam_succeed_if:检查用户的特性来看用户是否可以登录

13、pam_time:根据用户设定登录系统的时间,配置文件/etc/security/time.conf,格式:服务 终端 用户 时间

module-arguments:模块参数

/etc/pam.d下还有个other文件,定义默认规则(没有对应文件)

实验:

/etc/pam.d/login只对本地管用。

先备份下/etc/pam.d/system-auth-ac文件

在第二行加入

auth        required      pam_listfile.so item=group sense=allow file=/etc/pam_allowgroups

建立文件,并添加内容

vim /etc/pam_allowgroups

Linux名称解析服务(nss)与验证机制(pam)
      groupadd allowgrp

查看hxk这个用户

[root@hxk pam.d]# id hxk

uid=2527(hxk) gid=2527(hxk) 组=2527(hxk)

不在allowgrp这个组里,试着让hxk登录

Linux名称解析服务(nss)与验证机制(pam)
       现在将hxk加入到组中去

usermod -a -G hxk allowgrp

可以登录。

转载于:https://my.oschina.net/innovation/blog/3064083

chifengtuan3409
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux之DNS域名解析服务
尘埃的博客
03-29 287
Linux之DNS域名解析服务 一、安装Bind服务程序 BIND(Berkeley Internet Name Domain,伯克利因特网名称域)服务是全球范围内使用最广泛、最安全可靠且高效的域名解析服务程序。DNS域名解析服务作为互联网基础设施服务,其责任之重可想而知,因此建议大家在生产环境中安装部署bind服务程序时加上chroot(俗称牢笼机制)扩展包,以便有效地限制bind服务程序仅能对自身的配置文件进行操作,以确保整个服务器的安全。 第一步: yum install -y bind-chro
Linux域名解析服务
Forskamse's Blog
12-13 537
Linux域名解析服务的配置由三个基本的配置文件决定: /etc/hosts /etc/hosts文件包含了IP地址和主机名之间的映射,可能还包括主机名的别名,合法条目格式如下: IP_address canonical_hostname [aliases...] 系统上的所有网络程序首先通过查询该文件来解析对应于某个主机名的IP地址,如果没有解析成功再使用DNS服务程序解析。 通常可以将常用的...
linux nss升级,Linux系统升级
weixin_42667269的博客
05-12 870
首先查看当前版本信息# uname -aLinux localhost.localdomain3.10.0-123.el7.x86_64 #1 SMP Mon Jun 30 12:09:22 UTC 2014 x86_64 x86_64 x86_64GNU/Linux# cat/etc/redhat-releaseCentOS Linux release 7.0.1406 (Core)通过yum命...
linux安装程序和软件
潇潇雨歇
05-10 471
系列文章目录 一、 解析Linux应用软件安装包:     通常Linux应用软件的安装包有三种:     (1) tar包,如software-1.2.3-1.tar.gz。它是使用UNIX系统的打包工具tar打包的。     (2) rpm包,如software-1.2.3-1.i386.rpm。它是Redhat Linux提供的一种包封装格式。     (3) dpkg包,如software-1.2.3-1.deb。它是Debain Linux提供的一种包封装格式。      而且,大多数Li
linux 6.5升级nss,因kernel too old 而 centos6.8 升级内核
weixin_35231842的博客
05-13 487
因为docker运行centos 的时候,报错了,错误为kernel too old 。我看了一下是因为os的内核不行了,需要升级下内核。 查看默认版本: uname -r忘记截图了,内核大概是2.6.32 -642更新nss 安装elrepo的yum源升级内核需要使用elrepo的yum源,在安装yum源之前还需要我们导入elrepo的key 升级内核在yum的elrepo源中有ml和lt两种内...
glibc 知:手册29:系统数据库和名称服务开关
canpool
12-10 965
System Databases and Name Service SwitchC 库中的各种功能需要配置才能在本地环境中正常工作。传统上,这是通过使用文件(例如,/etc/passwd)来完成的,但是其他名称服务(例如网络信息服务 (NIS) 和域名服务 (DNS))变得流行起来,并且通常被入侵到 C 库中 具有固定的搜索顺序。GNU C 库包含一个更干净的解决方案来解决这个问题。它是根据 Sun Mic...
linux交叉编译nss3,nspr库精讲
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
02-18 7407
介绍如何交叉编译nss
Linux与Windows服务器双网卡绑定
04-28
### Linux与Windows服务器双网卡绑定知识点解析 #### 一、Linux下的网卡绑定 **1.1 网卡绑定概念** 网卡绑定是指在Linux系统中将多个物理网络接口聚合为一个逻辑接口的过程。这种技术提高了网络连接的可靠性和带宽...
05Linux网络服务DNS域名解析服务v10.pptx
11-12
正向解析是根据主机名称(域名)查找对应的IP地址,而反向解析是根据IP地址查找对应的主机域名。 BIND是伯克利Internet域名服务的缩写,官方站点是https://www.isc.org/。BIND服务器端程序的主要执行程序是/usr/...
Linux网络服务器配置习题解析.docx
最新发布
06-29
### Linux网络服务器配置知识点解析 #### 一、BIND配置与DNS服务 - **知识点1: 主配置文件** 在Linux环境下使用BIND配置DNS服务时,最重要的配置文件是`named.conf`(通常位于路径`/var/named/chroot/etc/named....
nss-3.9 ubuntu linux
12-24
nss-3.9 linux
Linux服务器配置全程实录.docx
02-23
Linux 服务器配置全程实录 - ...同时,Samba 服务也可以提供安全的数据传输、认证和名称解析等功能。 使用 Samba 配置文件服务器可以让类 UNIX 系统与 Windows 系统之间实现资源共享,提高企业网络中的文件管理功能。
Linux SSSD(System Security Services Daemon)
多头注意力探索Now
06-27 1217
安全模块设计
nss版本 linux,在CentOS系统中VSCode无法启动原来是NSS版本过低
weixin_42500625的博客
04-30 517
在CentOS系统中体验了VSCode编辑器,但是在无法正常启动VSCode,经过查找问题的原因得出是NSS版本过低,所以解决方法是升级NSS即可。无法启动VSCode详情所用的CentOS操作系统是7.3版本,安装完VSCode后点击图形界面中VSCode图标,任务栏中的VSCode图标显示正在启动,然后一直没见动静,之后任务栏中的VSCode图标也消失了,程序无法启动了。尝试解决这个问题,首先...
linux 0.11根文件系统,构建一个最小Linux根文件系统
weixin_36443053的博客
04-28 378
一个最小的根文件系统需要的项:终端:/dev/console,/dev/NULL如果不设置 inittab 格式中的 id (标准输入、输出和标准错误) 时,就定位到 /dev/NULL 中去。init 程序,就是 busybox .配置文件:/etc/inittab配置文件若指定的某些应用程序或执行脚本。应用程序需要的库。配置编译busybox编译方法Building:=========The ...
Linux运维 第三阶段 (十三)nss&pam
weixin_33826268的博客
11-05 245
Linux运维第三阶段(十三)nss&pam一、nss(network service switch网络服务转换)authentication(认证,决定用户的用户名和密码是否能通过检验)authorization(授权,决定用户是否能访问某服务)audition(审计)username-->UIDgroupname-->GIDhttp-->8...
linux 6.5升级nss,centos6.5 - centos 6.5系统PHP环境下的CURL库的SSL Version默认为NSS,怎么变更为OpenSSL?...
weixin_29584723的博客
05-13 470
现在要求PHP的环境支持TSL1.2和SHA-256,php的CURL库升级到curl 7.35.0,openssl升级到OpenSSL/1.0.1f,但是通过配资文件查看curl的SSL Version是NSS,如果修改为openssl?入下图SSL Version处如何变更为opensslcentos 6.5 php的curl的SSL Version 为什么是NSS/3.19.1 而不是Ope...
curl: (35) SSL connect error报错处理,更新nss版本;Linux版本centos7下载树
Syntacticsugar's blog
11-18 8648
处理 请求命令 curl -O https:// xxx 时候,报错curl: (35) SSL connect error 原因是nss版本有点旧了,yum -y update nss更新一下 Linux7下载树地址: http://mirrors.163.com/centos/7/isos/x86_64/ 更新完毕,从新请求: 下载mogoDB curl -O https://f...
Linux如何配置本地的名称解析服务
05-30
Linux系统中,可以通过配置本地的名称解析服务器来实现域名解析。以下是配置的具体步骤: 1. 编辑 /etc/nsswitch.conf 文件,将 hosts 行的解析方式修改为 "files dns",即: ``` hosts: files dns ``` 2. 编辑...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值