login (登录)的 PAM 验证机制流程

最新推荐文章于 2022-12-02 22:16:24 发布
最新推荐文章于 2022-12-02 22:16:24 发布
阅读量9.2k 收藏 10
点赞数 2
分类专栏: linux 文章标签: login ssh telnet 验证
login 的 PAM 验证机制流程是这样的:
  1. 验证阶段 (auth):首先,(a)会先经过 pam_securetty.so 判断,如果使用者是 root 时,则会参考 /etc/securetty 的配置;接下来(b)经过 pam_env.so 配置额外的环境变量;再(c)透过 pam_unix.so 检验口令,若通过则回报 login 程序;若不通过则(d)继续往下以 pam_succeed_if.so 判断 UID 是否大于 500 ,若小于 500则回报失败,否则再往下(e)以 pam_deny.so 拒绝联机。

  2. 授权阶段 (account):(a)先以 pam_nologin.so 判断 /etc/nologin 是否存在,若存在则不许一般使用者登陆;(b)接下来以 pam_unix 进行账号管理,再以 (c) pam_succeed_if.so 判断 UID 是否小于 500 ,若小于 500 则不记录登录信息。(d)最后以 pam_permit.so 允许该账号登陆。

  3. 口令阶段 (password):(a)先以 pam_cracklib.so 配置口令仅能尝试错误 3 次;(b)接下来以pam_unix.so 透过 md5, shadow 等功能进行口令检验,若通过则回报 login 程序,若不通过则 (c)以 pam_deny.so 拒绝登陆。

  4. 会议阶段 (session):(a)先以 pam_selinux.so 暂时关闭 SELinux;(b)使用 pam_limits.so 配置好用户能够操作的系统资源; (c)登陆成功后开始记录相关信息在登录文件中; (d)以 pam_loginuid.so 规范不同的 UID 权限;(e)开启 pam_selinux.so 的功能。

总之,就是依据验证类别 (type) 来看,然后先由 login 的配置值去查阅,如果出现『 include system-auth 』就转到 system-auth 文件中的相同类别,去取得额外的验证流程就是了。然后再到下一个验证类别,最终将所有的验证跑完!就结束这次的 PAM 验证啦!

经过这样的验证流程,现在你知道为啥 /etc/nologin 存在会有问题,也会知道为何你使用一些远程联机机制时,老是无法使用 root 登陆的问题了吧?没错!这都是 PAM 模块提供的功能啦!

例题:
为什么 root 无法以 telnet 直接登陆系统,但是却能够使用 ssh 直接登陆
答:一般来说, telnet 会引用 login 的 PAM 模块,而 login 的验证阶段会有 /etc/securetty 的限制!由于远程联机属于 pts/n (n 为数字) 的动态终端机接口装置名称,并没有写入到 /etc/securetty ,因此 root 无法以 telnet 登陆远程主机。至于 ssh 使用的是 /etc/pam.d/sshd 这个模块,你可以查阅一下该模块,由于该模块的 验证阶段并没有加入 pam_securetty ,因此就没有 /etc/securetty 的限制!故可以从远程直接联机到服务器端。
Linux开启用户登录认证,linux PAM 用户登录认证
weixin_30304423的博客
04-30 1119
PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系 统中添加新的认证手段。从本篇开始会总结一些常用的pam模块及其实现的功能,今天讲的是pam_tally2模块。...
PAM 解密:Linux 安全配置中的 /etc/pam.d/ 如何影响认证流程
最新发布
vortex5的博客
02-14 901
PAM(可插拔认证模块)是一个模块化的认证框架,它的目的是将系统的认证任务与具体的认证方法解耦。也就是说,PAM 允许系统管理员根据不同的需求,选择不同的认证模块(例如:密码认证、指纹识别、智能卡、单点登录等),并通过配置这些模块来完成用户的身份验证。通过 PAM,系统管理员不仅可以灵活地选择不同的认证方法,还能根据安全需求对这些认证方法进行调整和优化。目录是 Linux 系统中与 PAM 框架相关的重要配置目录,存放了各个服务和应用程序的认证配置文件。
Linux-PAM认证方式
weixin_33831673的博客
10-01 580
在linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等 在linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 linux各个...
/etc/pam.d/login Linux-PAM认证方式
wgz7747147820的博客
07-17 3836
https://blog.csdn.net/panfelix/article/details/21010299/ 在linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等 在linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 linux各个发行版中,PAM使用的验
linux程序如何调用pam,Linux-PAM 1.1.2 中文文档 - 3.2. 对应用程序的期望 | Docs4dev
weixin_32380307的博客
05-13 341
3.2.1. 对话功能#include struct pam_message {int msg_style;const char *msg;};struct pam_response {char *resp;int resp_retcode;};struct pam_conv {int (*conv)(int num_msg, const struct pam_message **msg,stru...
PAM认证机制
weixin_42741132的博客
10-06 2095
PAM介绍 认证库:文本文件, MySQL, NIS, LDAP等 Sun公司于1995 年开发的一种与认证相关的通用框架机制 PAM 是关注如何为服务验证用户的 API, 通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开 使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无 需更改服务程序。 一种认证框架,自身不做认证 它提供了对所...
Linux PAM登录模块的验证控制代码解析
在开发方面,了解和使用PAM login模块可以帮助开发者更好地控制应用程序的认证流程,例如在开发需要用户登录功能的Web应用时,可以通过PAM机制来实现安全的用户认证。 从本次资源的描述来看,提供的代码对于学习和...
linux安装pam认证模块,Linux PAM --插入式验证模块(Pluggable Authentication Module,PAM)...
weixin_33535402的博客
05-13 1249
http://www.ibm.com/developerworks/cn/linux/l-pam/http://www.linuxsir.org/bbs/thread211899.html插入式验证模块(Pluggable Authentication Module,PAM)API将公开一组功能,应用程序程序员可以使用这些功能来实现与安全性相关的功能,例如用户验证、数据加密、LDAP 等。在本文中...
Linux用户鉴定-PAM机制详解
早先,每个应用程序需要内置特定的验证机制来确认用户的身份,但随着认证方式的多样化(如智能卡、指纹识别、密钥等),这种做法变得不切实际。PAM的出现解决了这个问题,它允许应用程序通过统一的接口来使用各种...
Linux Login源码详解:验证与初始化过程剖析
总结来说,login源代码分析揭示了Linux系统登录流程的核心逻辑,从用户输入验证到环境设置、权限控制和shell启动,每一个环节都至关重要,确保系统的安全性与用户体验。理解这些细节对于系统管理员和开发者调试问题...
linux pam limits.so,Linux 无法本地登录解决方法 报错/lib/security/pam_limits.so
weixin_31360095的博客
05-14 1721
前一段时间,因工作需要在物理机上装了一个Centos6.5,但是,用了一段时间,发现再登录时,无论如何也登不进去了,并且也不提示用户名或者密码错误。我一度以为是在profile以及.bashrc或者.bash_profile里设置了logout命令,于是乎进入单用户模式,各种查看,也没有发现logout的命令。于是,盯着屏幕瞅了一会儿,发现输入正确的用户名和密码以后,会闪一下,但是,特别快,不多瞅...
Linux无法登录报错:module is unknown
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
05-31 3309
文章目录"Linux登录,报错module is unknown"处理【故障描述】【故障分析】【故障处理】 "Linux登录,报错module is unknown"处理 【故障描述】 环境:Linux version 3.10.0-229.el7.x86_64 描述:由于在linux中安装Oracle,配置Oracle安装环境时,更改了某些系统参数,第二日开机登录时发现即使 输入正确...
PAM认证机制详情
weixin_33802505的博客
01-31 407
               PAM(Pluggable Authentication Modules)认证机制详情                                             作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任。      一.介绍PAM   PAM(Pluggable Authentication Modules)即可插拔式认证模块,它是...
Python wsgidav
wjw806[旺旺]的专栏
12-02 759
Python wsgidav
PAM登录代码
Micheal
04-18 4486
int main(int argc, char **argv) { extern int optind; extern char *optarg, **environ; struct group *gr; register int ch; register char *p; int ask, fflag, hflag, pflag, cnt, err
Linux进阶_PAM认证机制详解
崔庆贺的博客
05-26 2681
PAM认证机制 1 PAM 介绍 认证库:文本文件,MySQL,NIS,LDAP等 PAM:Pluggable Authentication Modules,Sun公司于1995 年开发的一种与认证相关的通用框架机制 PAM 只关注如何为服务验证用户的 API,通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序 一种认证框架,自身不做认证 2 PAM架构 PAM提供了对所有服务进行认证的中央机制
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值