Linux 之旅 12:PAM模块和用户通讯

最新推荐文章于 2023-04-03 23:42:28 发布
最新推荐文章于 2023-04-03 23:42:28 发布
阅读量856 收藏 2
点赞数
分类专栏: linux 文章标签: Linux PAM 通信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hy6533/article/details/119853372
版权

Linux 之旅 12:PAM模块和用户通讯

image-20210822153614175

实际上本篇的内容与上篇Linux 之旅 11:Linux 账号管理与 ACL 权限设置是前后关联的,因为篇幅原因拆分成了两篇发布。

使用者的特殊shell与PAM模块

/sbin/nologin

像之前说的,在账户设置中使用/sbin/nologin作为登录用shell的账号将不能登录。特别的,如果需要给这些用户在不能登录时显式特定的内容,可以将内容写入/etc/nologin.txt

[root@xyz ~]# usermod -s '/sbin/nologin' user1
[root@xyz ~]# echo 'you use a shell without login' >> /etc/nologin.txt
[root@xyz ~]# cat /etc/nologin.txt
you use a shell without login

如果使用user1进行登录,将看到:

ssh user1@192.168.1.105
user1@192.168.1.105's password:
Last login: Sat Aug 21 17:29:44 2021
you use a shell without login
Connection to 192.168.1.105 closed.

当然,如果有必要,记得将user1的登录用shell修改回来。

PAM

PAM的全称是Pluggable Authentication Modules(插入式验证模块)。实际上PAM是一组API,可以定制验证流程,并在程序的实际运行中调用以完成身份验证。

PAM设置

通常,我们会为PAM添加一个与程序同名的配置文件作为验证流程的配置项,比如当你执行passwd时,涉及身份验证的部分的执行流程是这样的:

  1. 执行/bin/passwd,并输入密码。
  2. 调用PAM进行验证工作。
  3. PAM从/etc/pam.d/目录中寻找与passwd同名的配置文件,并加载。
  4. 根据加载的配置内容,调用相应的PAM模块完成验证工作。
  5. 将验证结果返回给passwd程序。

如果查看/etc/pam.d/passwd,其内容如下:

[root@xyz ~]# cat /etc/pam.d/passwd
#%PAM-1.0
auth       include      system-auth
account    include      system-auth
password   substack     system-auth
-password   optional    pam_gnome_keyring.so use_authtok
password   substack     postlogin

内容包含三列信息,分别是:验证类型,控制标识以及模块。

验证类型

验证类型主要分为以下几种:

  • auth

    auth(authentication)主要用于验证用户身份,通常需要使用密码。

  • account

    主要用于授权,检验用户是否有相应的权限。

  • session

    用于管理该次命令执行时PAM设置的环境信息。

  • password

    提供验证的修订任务,主要是修改密码。

需要说明的是这四种验证类型通常是有执行顺序的,通常需要先进行身份验证(auth),通过后才会进行授权(account),然后才是管理环境信息(session),最后根据需要可能会修改密码(password)。但这也并不绝对。

验证控制标识

验证控制标识(control flag)的作用有点像编程语言或shell scripts中的控制流程,即使用不同的控制标识可以控制其后的验证模块的执行过程。

看完主要的控制标识介绍你就会明白我说的是什么意思:

  • required

    无论成功失败,都将继续后续的验证流程。通常用于日志功能。

  • requisite(必要)

    如果失败,则立即终止验证流程,并返回failure,如果成功,继续验证流程。

  • sufficient(充分)

    如果成功,则立即终止验证流程,并返回success,如果失败,则继续验证流程。与requisite逻辑相反。

  • optional

    大多数情况下只起显式信息的作用,不影响验证流程。

那个include并非控制标识,而是类似于C++或PHP中的效果,可以使用include加载额外的PAM配置。

常用模块简介

PAM相关的文件主要有:

  • /etc/pam.d/*:PAM配置文件
  • /lib64/security/*:PAM模块文件
  • /etc/security/:PAM环境配置文件
  • /usr/share/doc/pam-*/:PAM说明文件

下面通过login程序介绍主要的PAM模块。

先查看login的PAM配置:

[root@xyz ~]# cat /etc/pam.d/login
#%PAM-1.0
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
auth       substack     system-auth
auth       include      postlogin
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
session    optional     pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      system-auth
session    include      postlogin
-session   optional     pam_ck_connector.so

用到的PAM模块主要有:

  • pam_securetty.so:限制管理员仅能从安全的终端登录。

  • pam_nologin.so&

最低0.47元/天 解锁文章
魔芋红茶
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
系统安全及应用
fengmaohuli的博客
04-08 3981
账号基本安全措施 系统账号清理、密码安全控制、命令历史清理、自动注销 用户切换与提权 su、sudo 开关机安全控制 BIOS引导设置、禁止Ctrl +Alt + Del快捷键、GRUB菜单设置密码 终端控制 John the Ripper 工具namp命令
13.5.3 【LinuxPAM 模块设置语法
最新发布
明确的爱,真诚的喜欢,直接的厌恶,站在太阳底下的坦荡,被坚定的选择。
07-26 1734
account account (帐号)则大部分是在进行 authorization (授权),这种类别则主要在检验使用者是否具有正确的使用权限,举例来说,当你使用一个过期的密码来登陆时,当然就无法正确的登陆了。
Linux 账号管理及ACL权限设置,PAM模块简介
草儿也忧伤的博客
04-29 658
有效群组与初始群组:   groups:有效与支持群组的观察 newgrp:有效群组的切换,后面接群组名称 在passwd文件中记录的GID就是默认的GID,就是初始群组 /etc/passwd文件结构 zabbix❌500:500::/home/zabbix:/bin/bash 第一段:账号名称   第二段:密码:该密码数据保存在/etc/shadow中,这里显示x   第三段:UID   第四...
PAM介绍
weixin_42946318的博客
08-26 2393
PAM 概述 在linux中进行身份或者状态的验证程序是由PAM进行的,PAM是可动态加载验证模块,由于可以按需要动态的对验证的内容进行变更,因此可以大大提高验证的灵活性。 PAM使用/etc/pam.d/目录下的文件来管理对程序的认证方式,调用相应的配置文件,从而调用本地的认证模块(认证模块存放在/lib64/security)。 pam主要由动态库与配置文件构成: 动态库 库文件(认证模块)存放在目录/lib64/security下。 配置文件 /etc/pam.d/目录中定义了各种 程序和服务 的P
pam_chroot.zip_linux pam _pam模块
09-14
`pam_chroot`模块PAM的一个组件,它的主要功能是在用户登录会话期间限制用户对系统的访问权限,将用户的根目录(或称为“chroot jail”)设置为一个特定的目录。这样,用户只能看到和操作这个受限的环境,无法访问...
PAM search list:PAM 模块用户搜索任意文件-开源
07-17
PAM 服务模块允许启用 PAM 的应用程序检查目标用户是否在某个任意明文列表中。 类似于 FreeBSD 项目中的模块 pam_ftpusers,并基于其代码。
PAM search list:PAM模块用户搜索任意文件-开源
05-09
PAM服务模块允许启用PAM的应用程序检查目标用户是否在任意明文列表中。 与FreeBSD项目中的模块pam_ftpusers类似,它基于其代码。
Linux-PAM模块实现用户登陆的控制.pdf
09-07
Linux-PAM(Pluggable Authentication Modules)是一种基于模块的身份验证机制,它允许系统管理员自由选择应用程序使用的验证机制。通过设置 Linux-PAM 模块的配置文件,可以实现用户登陆的控制。Linux-PAM 模块由多...
系统权限和PAM安全认证
LX199707的博客
05-17 684
一,su 和sudo 用法 1.两种方式:  以『 su - 』直接将身份变成 root 即可,但是这个指令却需要 root 的密码,也就是说,如果你要以 su 变成 root 的话,你的一般使用者就必须要有 root 的密码才行;  以『 sudo 指令 』执行 root 的指令串,由于 sudo 需要事先设定妥当,且 sudo 需要输入用户自己的密码, 因此多人共管同一部主机时, sudo 要比 su 来的好喔!至少 root 密码不会流出去! 2,su 命令 [root@study ~]# su
Selinux的配置与管理
lilygg的博客
11-07 4384
Selinux的设置 概述: selinux :内核级加强型火墙 对文件来说加载标签,对程序控制功能开关 配置实验环境: (1)做实验之前,最好先重置虚拟机,以保持纯净的实验环境(注意:重置虚拟机后需要设定ip以及配置yum源) (2)部署ftp服务 ##1.安装vsftpd和lftp,让这个虚拟机既是服务器又是客户端,便于操作 [root@localhost ~]# yum install -...
pam_loginuid: set_loginuid failed
zhangna的博客
06-08 1705
报错一:普通用户执行at[test@test-176 root]$ atPAM failure: Cannot make/remove an entry for the specified sessionYou do not have permission to use at.正确现象应该是:[zn@localhost 下载]$ atGarbled time报错二: 修改/etc/ssh/ssd_...
java参数注解pam_PAM传递身份验证用户名和密码
weixin_42132325的博客
01-17 255
我正在尝试开发一个简单的PAM模块 . 我想要的是捕获用户尝试通过SSH访问系统提供的用户名和密码,并委托给模块来决定是否连接 . 粗略地说,我想要做的是将这样的规则添加到pam.d中的sshd文件中:auth sufficient pam_exec.so 但据我所知,这不是我能做的事情 .我也尝试编写一个通过C "system" 函数调用脚本的自定义PAM模块,但我不清楚如何访问那里的用户...
linux pam 解锁_Linux使用PAM锁定多次登陆失败的用户
weixin_42498989的博客
12-24 1345
如何在Linux环境中使用PAM锁定多次登录失败用户修改如下文件:/etc/pam.d/sshd (远程ssh)/etc/pam.d/login (终端)内容如下:#%PAM-1.0authrequiredpam_tally2.sodeny=3unlock_time=120even_deny_rootroot_unlock_time=1200authrequired...
Linux_PAM_用户之间的信息传递
菜鸡逆袭的博客
08-03 437
PAM 账户信息的验证,可动态加载验证模块,提高验证的灵活性; PAM是一套应用程序接口,提供一连串的验证机制,借由一个与指令程序相同文件名的配置文件进行认证分析. 验证的过程包含三个字段: 1.验证类别(Type): author(认证):检验使用身份,需要密码进行检验 account(账户):进行授权的过程,检验使用者是否具有正确的使用权限.举例:采用过期的密码进行登录操作 se...
Linuxpam认证详解,linuxpam认证解析
weixin_39686634的博客
05-15 339
pam认证机制:简单来说就是linux系统采取的这一种对不同用户以及系统中的不同服务进行的安全认证机制。认证流程:linux系统首先确定所需认证的服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证。举个例子,我们登陆的时候,会向 PAM 发出验证要求的通知, PAM 经过一连串的验证后,将验证的结果回报给该程序,然后...
2021-05-08
m0_51004152的博客
04-03 807
Linux常用命令 进入终端 退出终端可以用exit或ctrl+D 命令格式 命令名 【选项】 【参数一】 【参数二】... eg. cp -i file1.c myfile1.c 该命令将源文件命令file1.c复制到目标文件myfile.c中,并且在覆盖后者之前先给出提示。 bash命令注意事项 1.命令名必须是小写英文字母,并且往往是表示相应功能的英文单词或单词的缩写。 2.一般格式中,“【】”中的是可选的,即该项对命令行来讲不是必须的,可有可无,依具体情况而视。 ...
linux pam(一)
u013080248的专栏
12-08 928
linux pam(一) pam由一个与指令相同文件名的配置文件来进行一连串认证需求。以passwd为例来分析pam调用过程: 1.用户开始执行/usr/bin/passwd指令,并输入密码 2.passwd调用pam模块进行验证。 3.pam模块会到/etc/pam.d/下找寻与指令同名的配置文件 4.依据指令同名的配置文件内的设定,引用pam模块进行逐
Linux操作系统PAM模块详解与实例
"PAM模块Linux操作系统中的可插拔认证模块,用于统一管理和控制系统的认证过程。它解决了不同应用程序各自拥有独立验证机制的问题,提供了一套通用的验证接口。PAM允许管理员通过配置文件定制认证策略,增强系统的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值