PAM笔记

最新推荐文章于 2024-08-11 17:29:57 发布
最新推荐文章于 2024-08-11 17:29:57 发布
阅读量79 收藏
点赞数

PAM


简介:

PAM可以理解为一个接口或者模块,提供了验证功能,只要使用者将验证的需求告知 PAM , PAM就能够返回验证的结果 (成功/失败)。PAM 是一套验证机制,可以被其他程序所引用,所以所有程序都可以使用 PAM进行验证,因此可以使账号密码或是其他方式的验证具有一致的结果。


工作流程:

用户想要使用某项服务发送验证信息到PAM,PAM进行验证返回验证结果(yes/no)允许/拒绝用户使用服务


以passwd 为例, 程序调用 PAM 的流程是:

1. 用户开始执行/usr/bin/passwd这支程序,输入密码;

2. passwd调用PAM模块进行验证;

3. PAM模块会在/etc/pam.d/寻找与程序(passwd)同名的配置文件;

4. 依据/etc/pam.d/passwd内配置,引用相关的PAM模块逐步验证分析;

5. 将验证结果(成功、失败以及其他信息)回传给passwd这支程序;

6. passwd这支程序会根据PAM反馈的结果决定下一个动作(重新输入新密码或通过验证)


PAM的文件:

/usr/lib/libpam.so.* PAM核心库

/etc/pam.conf 、/etc/pam.d/* PAM配置文件

/usr/lib/security/pam_*.so 可动态加载的PAM service module


PAM的配置:

PAM的配置是通过单个配置文件/etc/pam.conf,RedHat还支持另外一种配置方式,即通过配置目录/etc/pam.d/,且这种的优先级要高于单个配置文件的方式。


使用配置文件/etc/pam.conf :


该文件是由如下的行所组成的:

service-name module-type control-flag module-path arguments


服务名(service-name):

比如telnet、login、ftp等,服务名字“OTHER”代表所有没有在该文件中明确配置的其它服务。

模块类型(module-type):

模块类型有四种(auth、account、session、password)即对应PAM所支持的四种管理方式。同一个服务可以调用多个PAM模块进行认证,这些模块构成一个stack。

·control-flag :

用来告诉PAM库该如何处理与该服务相关的PAM模块的成功或失败情况。

它有四种可能的值:required,requisite,sufficient,optional。

·required :

表示本模块必须返回成功才能通过认证,但是如果该模块返回失败的话,失败结果也不会立即通知用户,而是要等到同一stack中的所有模块全部执行完毕再将失败结果返回给应用程序。可以认为是一个必要条件。

·requisite :

该模块必须返回成功才能通过认证,但是一旦该模块返回失败,将不再执行同一stack内的任何模块,而是直接将控制权返回给应用程序。是一个必要条件。注:这种只有RedHat支持,Solaris不支持。

·sufficient :

表明本模块返回成功已经足以通过身份认证的要求,不必再执行同一stack内的其它模块,但如果本模块返回失败的话可以忽略,可认为是一个充分条件。

·optional :

表明本模块是可选的,它的成功与否不会对身份认证起关键作用,其返回值一般被忽略。

module-path :

用来指明本模块对应的程序文件的路径名,一般采用绝对路径,如果没有给出绝对路径,默认该文件在目录/usr/lib/security下面。

arguments :

是用来传递给该模块的参数。一般来说每个模块的参数都不相同,可以由该模块的开发者自己定义,但是也有以下几个共同的参数:

·debug :

该模块应当用syslog( )将调试信息写入到系统日志文件中。

·no_warn :

表明该模块不应把警告信息发送给应用程序。

·use_first_pass :

该模块不能提示用户输入密码,只能从前一个模块得到输入密码。

·try_first_pass :

该模块首先用前一个模块从用户得到密码,如果该密码验证不通过,再提示用户输入新的密码。

·use_mapped_pass

该模块不能提示用户输入密码,而是使用映射过的密码。

·expose_account

允许该模块显示用户的帐号名等信息,一般只能在安全的环境下使用,因为泄漏用户名会对安全造成一定程度的威胁。


使用配置目录/etc/pam.d/ :

该目录下的每个文件的名字对应服务名,例如ftp服务对应文件/etc/pam.d/ftp。如果名为xxxx的服务所对应的配置文件/etc/pam.d/xxxx不存在,则该服务将使用默认的配置文件/etc/pam.d/other。


每个文件由如下格式的文本行所构成:    

module-type control-flag module-path arguments    

每个字段的含义和/etc/pam.conf中的相同。





                                                                        Arthur.WANG

                                                                        2015.4.1

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/30067573/viewspace-1482565/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/30067573/viewspace-1482565/

cuiyixuan2013
关注
网安安全配置笔记
good123525的博客
08-08 356
【代码】网安安全配置笔记
Linux-PAM 认证 模块
cuigongpin8516的博客
06-14 177
Linux-PAM 认证 模块 Pluggable Authentication Modules for Linux 可插拨认证模块当用户访问服务器,服务程序将请求发送到PAM 模块,PAM 模块根据服务名称在/etc/pam...
PAM学习笔记
xgc_woker的博客
03-01 495
Manacher 按照惯例,先放上manachermanachermanacher(其实是为了给自己看。。。 首先为了处理奇数串和偶数串的问题,我们可以给两个字符之间插入一些特殊字符。 设p[i]p[i]p[i]为以iii为中心最长回文串长度。 设mxmxmx为当前i+p[i]i+p[i]i+p[i]的最大值,ididid为mxmxmx的iii。 假设当前加入一个新节点iii,如果i&lt...
学习笔记-PAM
人饭子的博客
11-04 1175
PAM 关于PAM PAM 基础知识见 认证 安装 PAM CentOS、Fedora、EulerOS 系统默认安装了 PAM 并默认启动。 apt-get install libpam-cracklib 判断程序是否使用了 PAM ldd /usr/bin/passwd | grep libpam PAM 身份验证配置文件 /etc/pam.d/ 目录包含应用程序的 PAM 配置文件。例如,...
PAM 学习笔记
weixin_34161029的博客
11-16 253
插入式验证模块(Pluggable Authentication Module,PAM) 是一套共享函数库API,允许系统管理员来决定应用程式如何识别用户. 注意, 应用程序(服务)必须本身是支持PAM认证的,也就是说源码里面使用了PAM的API PAM的体现结构如下图 认证模块: 位于/lib/security/和/lib64/se...
笔记本开机原理
weixin_44738540的博客
06-15 565
其实CPU刚启动的时候,它是从BIOS ROM 中执行的代码,CPU为了找到它,硬件进行了一系列转换工作,这个过程也就是Shadow(映射)。需要强调的是,保存BIOS的Flash,是一块NOR Flash,它是支持字节寻址的,可以“原地执行代码”,而不需要加载到某块内存中执行。从按下开机键开始,机器是如何开到OS的呢?一、按下PowerButton按钮,首先是最底层的ec芯片会侦测到开机按钮的变化,然后开始跑上电时序G3-S5,S5-S0,如下图所示这是个EC开机时序,我只截取了S5-S0的代码。
回文树 PAM 学习笔记
FSYo 的博客
04-01 297
摘自 《2017 年国家集训队论文》“ 回文树及其应用 ” 一些规定 :Σ\SigmaΣ 表示字符集大小 串 SSS 和字符 ccc,用 ScScSc 表示将 ccc 接在 SSS 的后面 回文树:回文树是一棵由两棵树组成的森林,两棵树的根分别为 odd,evenodd,evenodd,even,回文树上的除根以外的一个结点表示一个字符串,每条边有一个字符,lenlenlen 表示一个结点...
Linux笔记-6
xrpmtdyqdm的博客
08-11 617
日志文件是重要的系统信息文件,其中记录了许多重要的系统事件,包括用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息等。2)日志对于安全来说也很重要,它记录了系统每天发生的各种事情,通过日志来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。3)可以这样理解日志是用来记录重大事件的工具。
linux操作系统笔记
2301_81842605的博客
05-27 280
请注意,出于安全考虑,普通用户通常没有权限查看 /etc/shadow 文件,只有root用户或具有相应权限的用户才能查看。- 选项表示切换到该用户的家目录,并加载该用户的环境变量。用户的环境变量配置文件通常位于用户的家目录下,如 .bashrc 、 .bash_profile 等。在Linux中切换用户和查看用户所属的用户组是常见的操作。超级用户:通常指的是root用户,拥有系统上的所有权限。/etc/shadow :存储加密后的用户密码。/etc/gshadow :加密的用户组密码。
PAM8403.pdf
05-31
根据文件信息,以下是关于PAM8403的详细知识点。 PAM8403是一款3W输出功率的D类立体声音频放大器,采用无需滤波器的设计架构,能够直接驱动扬声器而无需低通滤波器输出,从而节约系统成本和PCB面积。PAM8403提供低...
PAM8403芯片手册
05-27
PAM8403芯片详解:3W无滤波器D类立体声音频功放》 PAM8403是一款高效能、低噪声的3W无滤波器D类立体声音频功率放大器,它以其独特的设计,集成了AB类功放的音质优势与D类功放的高效能特性。这款芯片由PAM8403制造...
PAM8403功放PCB源文件-电路方案
04-21
PAM8403是一颗输出功率为3瓦特的D类音频功率放大器IC,它具有谐波失真低,噪声串扰小的特点使其对声音的重放得到较好的音质。采用新型无耦合输出及无低通滤波电路之架构使其可直接驱动喇叭降低了整个方案成本及PCB空间...
Linux笔记 No.22---(Linux - PAM)
weixin_45880055的博客
11-11 2072
在Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 可插拔身份认证模块(Pluggable Authentication Module,PAM)是一套共享库,使本地系统管理员可以灵活选择程序的认证方式。主
基于asp.net的工作流程审批系统设计与实现.docx
09-30
基于asp.net的工作流程审批系统设计与实现.docx
这是各种对象检测数据集的预处理相关工具脚本的集合.zip
09-30
这是各种对象检测数据集的预处理相关工具脚本的集合
基于asp.net的驾校理论考试网上模拟系统设计与实现.docx
09-30
基于asp.net的驾校理论考试网上模拟系统设计与实现.docx
基于Python与Shell的阿里巴巴智能运维竞赛排名14设计源码
09-30
该项目为阿里巴巴智能运维竞赛排名14的设计源码,采用Python和Shell两种编程语言,共包含27个文件,包括2个Python脚本、1个PDF文档、1个Markdown文件、1个文本文件、1个CSV文件、1个Shell脚本以及5个特定数据模型文件。该解决方案旨在提升运维效率,适用于大型企业的智能运维场景。
DRF完整项目及uwsgi部署配置
最新发布
09-30
DRF完整项目及uwsgi部署配置
PAM8403:3W无滤波器D类音频放大器
PAM8403是一款无需滤波器的D类音频放大器,具有低静态电流、低电磁干扰(EMI)、3W输出功率、4Ω负载和5V电源,适合驱动扬声器,减少了系统成本和PCB面积。在相同的外部组件数量下,其效率优于传统的AB类放大器,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值