海思3536平台上使用pam.d模块实现密码强度功能

最新推荐文章于 2024-07-08 22:09:55 发布
最新推荐文章于 2024-07-08 22:09:55 发布
阅读量1.2k 收藏 5
点赞数 1
分类专栏: 交叉编译 文章标签: linux arm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq91551663/article/details/118576769
版权

目录

前言

海思sdk带的busybox,密码强度的功能非常简单(busybox-1.20.2、libbb/obscure.c文件),由于客户对密码强度、复杂度,密码修改的限制等有严格的要求,故加入pam.d模块,实现密码控制的需求。

一、PAM模块介绍

PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。
PAM使用配置/etc/pam.d/下的文件,来管理对程序的认证方式,应用程序调用相应的配置文件,从而调用本地的认证模块,模块放置在/lib/security下,以加载动态库的形式进,像我们使用su命令时,系统会提示你输入root用户的密码.这就是su命令通过调用PAM模块实现的。
详细功能可参考 Linux下PAM模块学习总结

二、工具交叉编译及实现

1.工具、模块交叉编译(打包的源码包下载地址)

我的目录结构
在这里插入图片描述

1. cracklib库

Cracklib包 包含一个库,通过将用户选择的密码与所选单词列表中的单词进行比较,该库用于实施强密码。源码路径及安装、内容、命令解释~点这,这也是下载地址,

修改后交叉编译:

tar -zxf cracklib-2.9.7.tar.gz
cd cracklib-2.9.7/
./configure --host=arm-hisiv400-linux --prefix=$(pwd)/../../install CC=arm-hisiv400-linux-gcc AR=arm-hisiv400-linux-ar --disable-static --with-default-dict=/usr/share/cracklib
make ;make install

如果make的时候报man错,可以简单粗暴直接修改Makefile,去掉
SUBDIRS = po man(删掉) libmisc lib src

编译完成后,开始创建CrackLib字典(一些命令及路径需要root权限,我是在板子/home/上生成后再cp回服务器的编译目录),先下载cracklib-words-2.9.7.bz2(上文有下载地址)

1、mkdir -p /home/new_dict/dict/out/
2、cd /home/new_dict
3、install -v -m644 -D  cracklib-words-2.9.7.bz2 dict/cracklib-words.bz2
4、cd dict/
5、bunzip2 -v cracklib-words.bz2 (可能有些系统不支持bunzip2命令,这个可以挂载服务器,然后在本地执行解压)
6、ln -v -sf cracklib-words words
7、echo $(hostname) >> cracklib-extra-words
8、install -v -m755 -d /lib/cracklib
9、将交叉编译生成的命令create-cracklib-dict、cracklib-packer、cracklib-format(这个是脚本,有些交叉编译的gzip命令不支持-d参数,需删除不然报错)、cracklib-check拷贝到板子/sbin目录(或者有执行权限的其它目录)
10、执行 create-cracklib-dict --output out/ cracklib-words cracklib-extra-words
11、在out目录生成字典文件pw_dict.hwm、pw_dict.pwd、pw_dict.pwi,拷贝回至服务器编译目录的(你自己rootfs路径)/usr/share/cracklib/
2.pam模块

源码下载地址,编译也比较简单

tar -zxf Linux-PAM-1.3.1.tar.gz
cd Linux-PAM-1.3.1/
./configure --host=arm-hisiv400-linux --prefix=$(pwd)/../../install
make ;make install

编完之后,install/include 里面添加一个security目录,拷贝一份头文件到此处,后面用到。

3.pwquality 密码策略模块

Linux对应的密码策略模块有:pam_passwdqc 和 pam_pwquality 。其中pam_passwdqc模块对应的是/etc/login.defs,pam_pwquality对应的是/etc/security/pwquality.conf

模块的配置方法有两种:(配置文件解析可参考这里
a、password required pam_pwquality.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0
b、添加到/etc/security/pwquality.conf 中

这里我选择交叉编译生成pam_pwquality.so 来支持,密码复杂度功能,源码

tar -zxf libpwquality-1.4.4.tar.gz
cd libpwquality-1.4.4/
./configure --host=arm-hisiv400-linux build=arm-hisiv400-linux --prefix=$(pwd)/../../install/ --enable-pam LIBS=-L$(pwd)/../../install/lib CFLAGS=-I$(pwd)/../../install/include/
make;make install
4.shadow命令包

源码及命令详解,主要包含了登录(login、su)、用户和组管理(chage、passwd、useradd、usermod、userdel、groupadd、groupdel)等等命令。
交叉编译的命令会与busybox自带的冲突,例如passwd,可以修改busybox的config文件,屏蔽passwd命令
# CONFIG_PASSWD is not set
# CONFIG_FEATURE_PASSWD_WEAK_CHECK is not set

tar -zxf shadow-4.8.tar.gz
cd shadow-4.8/
./configure --host=arm-hisiv400-linux --prefix=$(pwd)/../../install/ --with-libpam=yes --with-libcrack=yes LIBS=-L$(pwd)/../../install/lib/ LDFLAGS="-lpamc -lpam_misc -lpam"  CFLAGS=-I$(pwd)/../../install/include

2.编译后文件整理

编完之后在install目录会生成执行文件、头文件、库、文档、配置文件等,我们需要用到的大概有下面这些,拷贝到编译的rootfs目录下(注意lib目录有软链接,拷贝时需要加-a,保存软链接)。
在这里插入图片描述

整个编译目录打包下载在这,包括我们自己修改的modify目录,顶层Makefile文件,可以按不同编译器偷懒地一起编译。

三、运行时常见问题及解决

1.执行passwd时,报 "pam_unix(passwd:chauthtok): authentication failure"
添加SetUID(或者 s 权限),当一个具有执行权限的文件设置SetUID权限后,用户执行这个文件时将以文件所有者的身份执行,
	chmod 755 /usr/bin/passwd
	chmod u+s /usr/bin/passwd	

2.不符合密码验证机制的话就修改不成功,会有各种报错:
“BAD PASSWORD: it's WAY too short”,这是报密码太短,不符合/etc/login.defs的设置;
“BAD PASSWORD: it is based on your username”,这是密码与帐号不能同名,这是不符合/etc/pam.d/passwd的设置;
“BAD PASSWORD: it is too simplistic/systematic"太简单/连贯的字符
“BAD PASSWORD: it is based on a dictionary word”这是因为出现了字典里的字符串。
		人名、地名,或者我们常用的单词,那么会被提示 it is based on a dictionary word 	
		也可以使用cracklib-check工具检测是否能用, 
			root@hisi:#echo "Change_Me" | cracklib-check
				Change_Me: it is based on a dictionary word
			root@hisi:#echo "wohenshuai123," | cracklib-check
				wohenshuai123,: OK
3. 命令运行问题、登录问题可以通过查看日志文件定位出错位置(需要rsyslogd命令支持)
root@hisi:~# cat /var/log/secure                 
Jul 30 14:28:32 hisi login[1565]: pam_unix(login:session): session opened for user root by root(uid=0)
Jul 30 14:28:32 hisi login[3039]: ROOT LOGIN  on '/dev/ttyS000'
Jul 30 14:49:07 hisi sshd[9195]: pam_unix(sshd:account): expired password for user admin (root enforced)
Jul 30 14:49:07 hisi sshd[9195]: pam_unix(sshd:session): session opened for user admin by (uid=0)
Jul 30 14:49:23 hisi passwd[9200]: pam_unix(passwd:chauthtok): password changed for admin
Jul 30 14:49:23 hisi sshd[9195]: pam_unix(sshd:session): session closed for user admin
Jul 30 14:49:25 hisi sshd[9291]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh 	ruser= rhost=192.168.1.104  user=admin
Jul 30 14:49:34 hisi sshd[9291]: pam_unix(sshd:session): session opened for user admin by (uid=0)

4.其它问题后续再补充....

四、密码安全功能(举例)

1.密码多次错误后锁住登录一定时间,可以防暴力破解

	ssh远程登录
		/etc/pam.d/sshd,在第一行后插入一行配置:
		#%PAM-1.0
		auth	required	pam_tally2.so even_deny_root deny=3 unlock_time=60
	串口
		/etc/pam.d/login ,在第一行下即#%PAM-1.0的下面添加: 
		auth	required	pam_tally2.so even_deny_root deny=3 unlock_time=60  root_unlock_time=60
		
		当密码输入错误超过3次时,账户锁住,
		hisi login: root
		Account locked due to 4 failed logins
		
		可以用pam_tally2命令查看密码错误次数
		root@hisi:/#pam_tally2 --user admin
		Login           Failures Latest failure     From
		admin               5    03/10/21 20:02:07  192.168.1.104
		
		root用户下,可以用pam_tally2命令解锁锁住的用户
		root@hisi:/# pam_tally2 --user admin --reset
		Login           Failures Latest failure     From
		admin               5    03/10/21 20:02:07  192.168.1.104

2.去掉缺省密码,第一次登录强制修改密码

	1). 判断如果是第一次登陆系统,则去掉密码,并强制密码过期
		usermod -L root;passwd -d root;chage -d 0 root;usermod -U root
	2). 修改完密码后,可设置用户密码有效期
		chage -m 0 -M 365 -I 0 -W 7 root

chage命令用法可参考这
usermod命令用法可参考这

3.不能使用历史已用密码作为新密码

	修改/etc/pam.d/system-auth-local文件,加入下面一行,remember=5,即最近5次使用过的密码就不能再用作新密码
	password    required      pam_pwhistory.so use_authtok remember=5 enforce_for_root

其它需求功能可见这里

渺沧海之一韭
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PAM模块详解及sudo命令
m0_65187145的博客
09-26 2069
它允许已验证的用户以其他用户的身份来运行命令。4.依据/etc/pam.d/passwd内的设置,引用相关的PAM模块逐步进行验证分析。3.PAM模块会到/etc/pam.d/中找与程序passwd同名的配置文件。/lib64/security/*:PAM 模块文件的实际放置目录;/usr/share/doc/pam-*/:详细的 PAM 说明文档。/etc/security/*:其他 PAM 环境的配置文件;命令是权限委派的命令,在生产环境中是非常常用的,默认情况下。
linux系统之pam模块
weixin_34279579的博客
04-06 719
一、pam简介Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式. 换句话说,不用(重新编写)重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制. 这种方式下,就算升级本地认证机制,也不用修改程序. PAM使用配置/etc/pam.d/下的文件,来管理对程序的认证方式.应用程序 调用相应的配置文件,从而调用本地...
Linux-PAM认证模块
qq_55914897的博客
09-06 365
pam_unix验证模块与auth验证类型一起使用时,此模块可以使用的选项有debug、audit、use_first_pass、 try_first_pass、nullok和nodelay,主要功能是验证用户密码的有效性,在缺省情况下(即不带任何参数时),该模块的主要功能是 禁止密码为空的用户提供服务;在/etc/pam.d/下的文件中,与服务名称相对应的文件,为该服务的pam验证文件,例如服务为sshd,则在/etc/pam.d下存在 sshd这个文件,里面包含sshd验证规则。
PAM的初步学习 linuxpam.d学习
08-01
对于linux pam.d文件的详细说明 ,是第一步的学习。 pam.d文件是一个Linux中相当的重要的权限控制方面。
/etc/pam.d 与 /etc/security 密码策略
weixin_34137799的博客
01-03 878
PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系 统中添加新的认证手段。PAM最初是集成在Solaris中,目前已移植到其它系统中,如Linux、SunOS、H...
PAM认证机制
顺其自然~专栏
03-02 1934
其他数据库将仅从文件中获取。PAM 模块可以提供各种类型的身份验证,例如基于密码的身份验证、基于证书的身份验证、双因素身份验证等。2.passwd开始调用PAM模块PAM模块会搜寻passwd程序的PAM相关设置文件,这个设置文件一般是在/etc/pam.d/里边的与程序同名的文件,即PAM会搜寻/etc/pam.d/passwd此设置文件。认证库有文本文件,MySQL数据库,NIS ,LDAP等,这些库所对应的系统模块位于/lib64/security/目录下的所有库文件(以".so"后缀的文件)。
/etc/pam.d/login Linux-PAM认证方式
wgz7747147820的博客
07-17 3424
https://blog.csdn.net/panfelix/article/details/21010299/ 在linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等 在linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 linux各个发行版中,PAM使用的验
基于海思3536平台为示例的嵌入式软件开发-基础篇
06-30
1. 以海思3536为例,以图示的方式,从芯片丝印开始介绍此平台的能力、架构以及各个主要功能模块使用方法、步骤; 2. 嵌入式Linux系统环境、应用程序运行环境、开发环境、QT运行环境、QT开发环境的搭建过程介绍; 3. ...
海思Hi3536、Hi3531D、Hi3531A详细参数对比.pdf
03-01
整理对比了三个海思编解码处理芯片的详细参数,供设计选型使用 整理对比了三个海思编解码处理芯片的详细参数,供设计选型使用 整理对比了三个海思编解码处理芯片的详细参数,供设计选型使用
海思编解码芯片选型指导.zip_hi3536 ibls_hisi3520dv300_waterxy6_海思 资料_海思3536C
07-14
海思音视频编解码芯片选型指导资料,包含海思产品计划。
海思3531A 4G模块调试.doc
01-28
海思3531A是一款基于4G技术的通信模块,专为实现高速移动网络连接而设计。在本文中,我们将深入探讨3531A模块的调试过程,特别是涉及的主分集天线概念以及千兆网媒体访问控制(GMAC)功能。 主分集天线技术是提高...
海思平台Linux嵌入式开发入门教程.doc
07-02
海思平台Linux嵌入式开发是一项复杂而富有挑战性的任务,尤其对于初学者而言。本教程将引导你从零开始,逐步掌握海思3516DV300芯片的Linux开发环境搭建和SDK编译过程。以下是详细的步骤和知识点: 1. **开发工具与...
13.5.3 【LinuxPAM 模块设置语法
明确的爱,真诚的喜欢,直接的厌恶,站在太阳底下的坦荡,被坚定的选择。
07-26 1731
account account (帐号)则大部分是在进行 authorization (授权),这种类别则主要在检验使用者是否具有正确的使用权限,举例来说,当你使用一个过期的密码来登陆时,当然就无法正确的登陆了。
系统安全及应用
fengmaohuli的博客
04-08 3981
账号基本安全措施 系统账号清理、密码安全控制、命令历史清理、自动注销 用户切换与提权 su、sudo 开关机安全控制 BIOS引导设置、禁止Ctrl +Alt + Del快捷键、GRUB菜单设置密码 终端控制 John the Ripper 工具namp命令
linux中/etc/pam.d/system-auth文件详解
热门推荐
ghjzzhg的博客
07-01 5万+
密码设置及登陆控制文件位置:/etc/pam.d/system-auth, 示例文件内容如下: auth required pam_securetty.so auth required pam_unix.so shadow nullok auth required pam_nologin.so account required pam_unix.so ...
LinuxPAM安全认证模块的交叉编译移植
luck_nig的博客
05-15 3180
参考链接 https://blog.csdn.net/weixin_42218802/article/details/82526099?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522158950322119725256762957%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.57675%2522%257D&request_id=1589503221197
Linux--PAM机制
TYJhhxx的博客
06-26 3742
一、PAM是什么? 二、PAM模块设置语法 2.1 /etc/pam.d/里面的配置文件 2.1.1第一个字段:验证类别(Type) 2.1.2第二个字段:验证的控制标识(control flag) 三、常用模块简介 总结
pam源码安全认证模块交叉编译、移植
m0_73022496的博客
10-09 1088
进入PAM安装目录,将lib下的libpam.so和libpam_misc.so库文件拷贝至目标机/lib目录,将 lib下的security目录拷贝至目标机/lib, 将etc目录下的文件拷贝至目标机/etc目录。在/home/twelve/cracklib-2.9.8/src/build、目录下会生成对应文件。目录/home/twelve/linux-pam-1.3.1/build/会生成对应文件。linux-pam-1.3.1/doc/man/Makefile.in目录和。此处是我是用以下命令。
Linux】进程间通信——匿名管道
最新发布
2201_76024104的博客
07-08 1148
1.:一个进程需要将它的数据发送给另一个进程,比如我们有两个进程,一个负责获取数据,另一个负责处理数据,这时第一个进程就要将获取到的数据交给第二个进程2.:多个进程间共享同样的资源3.:一个进程需要给其他进程发送消息,通知他们发生了某种事件4.:有些事件需要完全控制另一个进程,比如我们在使用gdb调试时,gdb就是一个进程,它控制了我们要调试的进程进程之前是有互相传递信息的需求,但是,一个进程不可能去另一个进程的地址空间中取信息,所以这就要求操作系统去提供一块交换数据的空间来供进程之间使用
海思3536 3536c 3536d
02-05
海思3536是一款高性能的芯片,具有强大的计算能力和丰富的接口资源,可以广泛应用于智能手机、平板电脑、智能手表、智能家居等领域。它采用了先进的制程工艺和架构设计,具有低功耗、高集成度和良好的性能表现。 海思3536C是基于3536芯片进行优化升级的产品,性能更加出色,能够支持更复杂的计算任务和更高的图形处理要求,同时具有更低的功耗和更高的集成度,可以在更多的智能终端设备中得到应用。 而海思3536D则是在3536C的基础上,进一步提升了性能和功耗,并增加了更多的AI计算单元和神经网络处理能力,可以更好地满足人工智能和深度学习任务的需求,是一款专为智能终端设备设计的高性能芯片。 综上所述,海思35363536C和3536D都是高性能的芯片产品,具有不同程度的优化和升级,适用于智能终端设备的不同应用场景,能够提供出色的计算、图形处理和人工智能能力,是当前智能科技领域的重要组成部分。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值