linux认证机制,Linux下的高级安全认证机制你用了吗？！(2)

需要特别注意：配置文件中的任何一行错误都会导致验证失败，同时相关错误信息被记录到syslog。

举一个简单的例子如下：

Login auth required pam_unix.so debug

Login auth required pam_kerb.so use_mapped_pass

Login auth optional pam_rsa.so use_first_pass

这样，当login程序执行时先用pam_unix.so模块即传统的UNIX口令方式鉴别用户，然后再调用pam_kerb.so模块即Kerberos对用户进行鉴别，最后用pam_rsa.so模块即RSA方式鉴别用户。在按上述顺序鉴别用户的过程中，如果pam_unix.so模块鉴别失败，它将继续调用下面的模块进行鉴别而非立刻向login程序返回错误消息；

pam_kerb.so模块也按同样方式处理，直到顺序处理完最后一个pam_rsa.so模块后，PAM才将前面出现的错误信息返回给login程序。对于该配置，即使pam_rsa.so模块顺利通过，只要pam_unix.so模块和pam_kerb.so模块中有一个出现错误，用户就不能通过鉴别；相反，即使pam_rsa.so模块失败，只要pam_unix.so模块和pam_kerb.so模块都通过了，用户也能通过鉴别。

再举一个有关ftp的例子如下：

ftp auth required pam_unix_auth.so debug

这样，当用户使用ftp时，将用传统的UNIX口令鉴别方式来验证其身份。

值得一提的是：在有的Linux操作系统(比如Fedora)下并没有现成的/etc/pam.conf文件可以使用，用户需要按照本节的介绍自行进行生成和编辑。

2.2  口令映射机制

在同一个机器上使用多个鉴别机制，尤其是一个应用程序集成多种鉴别机制可能导致用户需要记忆多个口令，这会让用户觉得很不舒服。虽然可以让所有机制使用相同的口令来获取易用性,但是这将削弱系统的安全性--如果其中任何一个机制的口令泄露了，则所有机制都会受到牵累。

此外,不同的鉴别机制在口令长度、容许的字符、更新间隔、有效期等方面可能具有他们特有的要求，这些要求也是为多鉴别机制使用同一个口令必须考虑的一个问题。

PAM为我们提供了这样一种解决方案,它不排除为所有鉴别机制共用一个口令,同时允许通过口令映射技术让每个机制使用不同的口令。该方案用用户的"主口令"加密其他的"副口令",并且将这些经过加密的副口令存放在一个用户能访问的地方。主口令一旦经过验证,鉴别模块就能用它解密那些加密的副口令从而获得相应口令,然后将所需口令传递给鉴别模块。这称为"口令映射"。

如果口令映射出现错误,或如果映射不存在,那么各鉴别模块应该提示用户输入口令。为支持口令映射,主口令应保存在PAM第二层并且在需要时由其提供给堆叠的各个鉴别模块。同时，口令要在pam_authenticate函数返回之前清除。为了保障口令映射的安全，主口令必须足够强壮,可以考虑使其的长度更长、组成口令字符的类型多样化并使用混合类型的字符组成口令等有效措施。

口令如何加密及其存储完全取决于具体的实现：它能够将加密的副口令(也称作"映射口令")存储在可靠或不可靠的地方,诸如智能卡、本地文件或目录服务。当然，如果加密的口令保存在一个不可靠的允许公共访问的地方,会留下受到字典攻击的隐患。

为实现口令映射，所有鉴别模块应支持以下四个映射选项∶

use_first_pass∶它表示当该模块执行时不提示用户输入口令，而将该模块之前的提示用户输入的主口令作为它们的公共口令进行验证。如果用户没能通过主口令的鉴别，则该模块不提示用户输入口令。此选项一般说来在系统管理员想强制用同一个口令通过多模块时使用。

try_first_pass∶除了如果主口令不正确，将提示用户输入口令之外，它的用法与use_first_pass相同。

use_mapped_pass∶它表示使用口令映射技术得到此模块的有效口令。也就是说，该模块执行时不提示用户输入口令，而是用映射口令即用主口令解密得到的该模块的副口令作为本模块的口令输入进行验证。如果在此之前用户没能通过主口令的鉴别，则该模块也不会提示输入口令。

try_mapped_pass∶除了如果主口令不正确，它将提示用户输入口令之外，该项与use_mapped_pass用法相同。

当口令更换后,PAM会保存所有新旧口令，并且使有关模块能够访问到它们。其他模块能够使用此信息更新加密的口令而不必强制用户再次输入口令。

现以上面使用的有关login的配置文件为例讲解口令映射：

Login auth required pam_unix.so debug

Login auth required pam_kerb.so use_mapped_pass

Login auth optional pam_rsa.so use_first_pass

在这里login程序集成了三种鉴别方式：传统UNIX口令鉴别、Kerberos和RSA鉴别，但通常情况下用户仅输入一次口令便能通过鉴别了。当程序调用pam_unix.so模块时，PAM提示用户输入他们的UNIX口令，然后由pam_kerb.so模块对用户输入的UNIX口令进行鉴别。

继而调用pam_kerb.so模块，由于该模块的选项为use_mapped_pass，它将利用口令映射机制进行认证，也就是说，如果UNIX口令鉴别通过的话，就将其作为pam_kerb.so模块的主口令来解密其对应的映射口令从而进行Kerberos鉴别。

如果pam_unix.so模块所需口令没能通过验证，则无法进行口令映射，那么PAM将直接调用下一鉴别模块而不提示用户输入其Kerberos口令。最后一个模块的选项为use_first_pass，所以pam_rsa.so模块将使用前边输入的主口令来鉴别用户，如果口令错误也不提示用户输入RSA口令。所以，只要第一次输入的口令是正确的，并且映射口令存在，则一个口令便足以通过鉴别。

2.3  基于目录的配置形式

从Linux-PAM 5.6版开始引入了一种基于目录的配置方式，通过/etc/pam.d/目录下的文件对PAM进行配置。这种方式比单一的配置文件具有更大的灵活性。这个目录下的所有配置文件都以某个服务名命名(小写)。不过，这两种配置方式不能同时起作用，也就是说，自己只能使用其中一种对Linux-PAM进行配置。一般/etc/pam.d/优先。