Linux系统安全及应用(二):PAM安全认证

于 2024-08-12 20:25:49 发布
阅读量1k 收藏 30
点赞数 14
文章标签: 安全 linux 系统安全 服务器 运维 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44421043/article/details/141141245
版权

文章目录

4Linux中的PAM安全认证

介绍

  • PAM(Pluggable Authentication Modules),可插拔式认证模块
  • 是一种高效而且灵活便利的用户级别的认证方式
  • 也是当前Linux服务器普遍使用的认证方式
  • 配置文件每一行配置定义了一个认证过程,这些认证过程按照从上往下的顺序依次执行
  • PAM 通过模块化的设计,使得系统管理员可以灵活地配置和定制认证过程,以满足不同的安全需求

su命令的安全隐患

安全隐患

默认情况下,任何用户都允许使用 su 命令

其他用户有机会反复尝试其他用户(如root) 的登录密码,带来安全风险

解决办法

使用 PAM 认证模块限制 su 命令的使用

为了加强 su 命令的使用控制,借助于PAM认证模块,只允许极个别用户使用 su 命令切换用户身份,减少安全风险

PAM认证原理和构成

  • 认证流程

    流程大致为:

    Service(服务)→PAM(配置文件)→pam_*.so

    PAM模块的认证流程一般遵循以下步骤顺序:

    1. 确定服务程序
    2. 加载相应的PAM配置文件PAM(位于/etc/pam.d下)
    3. 调用认证模块(位于/lib64/security下)进行安全认证

用户访问服务器时,服务器的某一个服务程序把用户的请求发送到PAM模块进行认证,不同的应用程序所对应不同的PAM模块。

  • 查看某个程序是否支持PAM认证,可以用ls命令

    ls /etc/pam.d | grep su  # 检查 su 是否支持 PAM 认证

  • 查看su的PAM配置文件

    可以通过查看 /etc/pam.d/su 文件了解具体的 PAM 认证过程。文件中的每一行代表一个独立的认证过程,通常分为以下三个字段:

    • 认证类型(auth, account, password, session)
    • 控制类型(required, requisite, sufficient, optional)
    • PAM 模块及其参数(如 pam_wheel.so)

PAM安全认证流程

控制类型(Control Flags)

用于指定PAM验证模块的返回结果出来方式:

  1. required:验证失败时仍然继续,但返回 Fail 。
  2. requisite:验证失败则立即结束整个验证过程,返回 Fail 。
  3. sufficient:验证成功则立即返回,不再继续,否则继续执行其他认证。
  4. optional:用于会话控制(session),不直接用于验证,只显示信息。

在这里插入图片描述

PAM 配置文件结构说明

  1. 第一列:PAM 模块类型
    • auth:用于用户身份验证,比如输入密码并验证是否是 root 用户。
    • account:检查用户账号的属性,例如是否允许登录、账号是否过期、用户数量是否达到上限等。
    • password:处理用户密码的更新,例如修改密码。
    • session:管理用户会话,例如记录登录信息、挂载文件系统等。
  2. 第二列:PAM 控制标记
    • required:该标记的模块必须成功才能继续认证。如果失败,认证过程不会立刻停止,而是执行该类型的所有模块后返回失败信息。这种方式隐藏了哪个模块失败,以增强安全性。
    • requisite:类似 required,但如果此模块失败,认证过程立即停止并返回失败信息。
    • sufficient:如果此模块成功,立即返回成功,不再执行后续的相同类型的模块。如果失败,不影响最终结果。
    • optional:无论此模块成功与否,认证过程都将继续。通常用于非关键的认证操作。
    • include:在当前配置文件中包含其他 PAM 配置文件的内容。例如,可以调用 /etc/pam.d/system-auth 来处理系统认证。
  3. 第三列:PAM 模块
    • 指定使用的 PAM 模块。通常位于 /lib64/security/ 目录下,如果在其他路径,需要提供绝对路径。
    • 同一个模块可以出现在不同类型中,每个类型调用该模块时的行为可能不同。
  4. 第四列:PAM 模块的参数
    • 传递给模块的参数,可以根据所使用的模块配置多个参数,参数之间用空格分隔。

PAM 控制标记的补充说明

  • required:该标记的模块必须成功才能通过认证,即所有带 required 标记的模块都必须成功,否则认证失败。但错误信息会在所有此类型模块执行完成后返回。
  • requisite:如果此模块失败,认证过程立即停止并返回错误信息,不再执行后续模块。
  • sufficient:只要此模块成功,认证立即返回成功结果,并跳过后续模块。如果失败,认证过程继续但不影响最终结果。
  • optional:无论此模块成功与否,认证过程都将继续,因此不影响最终认证结果。

PAM 实例

以下是 PAM 认证过程中,使用不同控制标记对用户进行身份验证的示例:

模块类型控制标记模块用户1用户2用户3用户4
authrequired模块1passfailpasspass
authsubstack模块2passpassfailpass
authrequired模块3passpasspassfail
结果passfailpasspass

在上表中,不同用户经过不同模块的认证后,最终结果为 passfail,这取决于每个模块的认证结果和控制标记的作用。

shyuu_
关注
PAM安全认证
frostleaf_的博客
08-26 1497
1、PAM概念 Linux-PAM,是linux可插拔认证模块,是一套可定制、 可动态加载的共享库,使本地系统管理员可以随意选择程序的认证方式。 2、配置文件位置 PAM使/etc/pam.d/下的配置文件,来管理对程序的认证方式 本地的认证模块,模块放置在/lib64/security下,以加载动态库的形式进行认证 3、PAM认证原理 PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_ *.so; PAM认证首先要确定哪一项应用服务
Linux-PAM认证机制
weixin_30328063的博客
12-08 97
http://www.cnblogs.com/marility/articles/9235522.html https://www.jianshu.com/p/342c05b51b7c https://www.jianshu.com/p/ac3e7009a764 转载于:https://www.cnblogs.com/answercard/p/10086480.html
Linux-PAM(即linux可插入认证模块)
最新发布
qq_43420088的博客
07-19 1208
Linux-PAM(即linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用(重新编写)重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制,这种方式下,就算升级本地认证机制,也不用修改程序。
Linux-PAM认证模块
qq_55914897的博客
09-06 466
pam_unix验证模块与auth验证类型一起使用时,此模块可以使用的选项有debug、audit、use_first_pass、 try_first_pass、nullok和nodelay,主要功能是验证用户密码的有效性,在缺省情况下(即不带任何参数时),该模块的主要功能是 禁止密码为空的用户提供服务;在/etc/pam.d/下的文件中,与服务名称相对应的文件,为该服务的pam验证文件,例如服务为sshd,则在/etc/pam.d下存在 sshd这个文件,里面包含sshd验证规则。
LinuxPAM认证详解(以centos7为例)
高性价比服务器就选:蓝易云
08-14 796
它允许系统管理员灵活地配置和集成不同的身份验证模块。需要注意的是,对PAM配置文件的修改需要谨慎操作,以免导致认证系统的不可用或存在安全风险。在修改PAM配置文件之前,建议先备份原始配置文件,并仔细了解每个模块的功能和影响。根据具体需求,你可以进一步研究和调整PAM配置文件以满足系统的安全认证要求。通过编辑PAM配置文件,你可以根据需求定制系统的身份验证过程。可以添加、删除或修改PAM模块条目,以满足特定的认证需求。PAM配置文件由一系列的模块条目组成,每个条目对应一个PAM模块。
LinuxPAM模块学习总结
wo4owen的博客
09-30 921
转载于: https://www.cnblogs.com/kevingrace/p/8671964.html 如有侵权请联系删除 LinuxPAM模块学习总结 在Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大.
linuxpam认证解析
学无止境
04-17 5754
首先了解一下,什么是linuxpam认证呢? pam认证机制:简单来说就是linux系统采取的这一种对不同用户以及系统中的不同服务进行的安全认证机制。 认证流程:linux系统首先确定所需认证的服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证。 举个例子,我们登陆的时候,会向 PAM 发出验证要求的通知...
LinuxPAM安全认证机制.pdf
09-06
Linux系统中,PAM的配置文件通常位于/etc/pam.d/目录下,每个应用程序都有其对应的PAM配置文件。例如,sshd的PAM配置文件通常是sshd,而login的PAM配置文件通常是login。这些配置文件中包含了各种认证模块的配置...
利用PAM增强Linux登录认证安全性.pdf
09-07
"利用PAM增强Linux登录认证安全性" 本篇文章主要介绍了如何使用PAM(Pluggable Authentication Modules,插件式鉴别模块)来增强Linux登录认证安全性。文章首先分析了Linux登录机制,然后讨论了如何使用PAM进行用户...
基于PAM保护Linux系统应用程序的安全性研究.pdf
09-06
"基于PAM保护Linux系统应用程序的安全性研究" 本文主要研究了基于PAM保护Linux系统应用程序的安全性,并对PAM的基本原理和实现机制进行了详细分析。 首先,PAM(Pluggable Authentication Modules)是一种可插入的...
linux系统安全应用
xy_1212的博客
01-02 2562
目录 一、账号安全控制 1.1基本安全措施 1.1.1系统账号的清理 1.1.2密码安全控制 1.1.3命令历史、自动注销 1.2用户切换与提权(加入wheel组) 1.2.1su命令—切换用户 1.2.2sudo命令—提升执行权限 1.3PAM安全认证 、系统引导和登录控制 2.1开关机安全控制 2.1.1调整BIOS引导设置原则 2.1.2GRUB菜单设置 2.1.3GRUB限制的实现 2.2终端及登录控制 2.2.1限制root用户只在安全终端登录 ​2.2.2禁止普通用户登录 三、弱口令检测、端口
linux环境下pam安全模块
06-27
linux环境下pam安全模块 相关的视频 pam 1/5 http://www.boobooke.com/bbs/thread-67642-1-1.html pam 2/5 http://www.boobooke.com/bbs/thread-67655-1-1.html pam 3/5 http://www.boobooke.com/bbs/thread-67775-1-1.html pam 4/5 http://www.boobooke.com/bbs/thread-67780-1-1.html pam 5/5 http://www.boobooke.com/bbs/thread-67784-1-1.html
linux操作系统PAM模块实例
11-06
Linux 操作系统 PAM 模块实例详解 ...PAM 模块也可以用来加固 Linux,提高系统安全性。但是,如果不当使用 PAM 模块,也可以给 Linux 留后门,降低系统安全性。因此,在使用 PAM 模块时,需要非常小心和谨慎。
Linux学习——小白看PAM认证
加个点的博客
09-24 469
pam认证机制 是一种与认证相关的通用框架机制,但是自身不做认证 它同时面向验证服务的开发者和被验证服务者:淘宝、商家、买家 应用程序开发者通过 在服务程序中使用PAM API来实现对认证方法的调用;而PAM服 务模块的开发者则利用PAM SPI来编写模块供 PAM接口库调用,将不同的认证机制加入到系统中;PAM接口库则 读取配置文件,将应用程序和相应的PAM服务模块联系起来 系统管理...
Linuxpam认证详解,linuxpam认证解析
weixin_39686634的博客
05-15 351
pam认证机制:简单来说就是linux系统采取的这一种对不同用户以及系统中的不同服务进行的安全认证机制。认证流程:linux系统首先确定所需认证的服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证。举个例子,我们登陆的时候,会向 PAM 发出验证要求的通知, PAM 经过一连串的验证后,将验证的结果回报给该程序,然后...
Linux账号安全控制与PAM认证模块
ShiXiao0121的博客
11-30 6190
这里写目录标题一、账号安全控制1.1、系统账号清理①、将非登录用户的Shell设为/sbin/nologin②、锁定长期不使用的账号④、解锁账号⑤、删除无用的账号⑥、锁定账号文件 passwd、shadow1.2、密码安全控制①、设置密码有效期**②、要求用户下次登录时修改密码③、命令历史限制④、终端自动注销⑤、切换用户:su⑥、限制使用su命令切换用户PAM认证模块 一、账号安全控制 1.1、系统账号清理 ①、将非登录用户的Shell设为/sbin/nologin usermod -s /sbin/n
Linux安全认证隐匿插件:PAM配置探秘
m0_60788247的博客
04-09 983
介绍的pamlinux安全认证模块承担得角色,并分享了两个案例,可以按照这个思路举一反三去解决一些疑难问题
复习linux——PAM认证机制
qq_54363472的博客
12-23 1163
PAM只关注如何为服务验证用户的API,通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开PAM提供了对所有服务进行认证的中央机制,适用于本地登陆,远程登陆,系统管理员通过PAM配置文件来定制不同应用程序的不同认证策略。
PAM | 账户安全 | 管理
梓芮
02-18 1504
PAM(Pluggable Authentication Modules,可插入式身份验证模块)是一个灵活的身份验证系统,允许我们通过配置和组合各种模块来实现不同的身份验证策略。以上只是一些常见的 PAM 模块,实际还有许多其他模块可用于不同的身份验证需求。限制账号安全的配置涉及很多步骤,包括密码策略、访问控制、身份验证、日志和监控等。Linux系统的账户安全是保护系统免受未授权访问和潜在威胁的关键方面。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值