Linux中pam认证详解,linux中pam认证解析

最新推荐文章于 2023-07-26 10:17:41 发布
最新推荐文章于 2023-07-26 10:17:41 发布
阅读量2.6k 收藏 12
点赞数
文章标签: Linux中pam认证详解

pam认证机制:简单来说就是linux系统采取的这一种对不同用户以及系统中的不同服务进行的安全认证机制。

认证流程:linux系统首先确定所需认证的服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证。

举个例子,我们登陆的时候,会向 PAM 发出验证要求的通知, PAM 经过一连串的验证后,将验证的结果回报给该程序,然后该程序就能够利用验证的结果来进行可登陆或显示其他无法使用的信息。

现在我们取 /etc/pam.d/passwd这个配置文件的内容来看一看:

a1b1d6542010339703a07f94e6090abf.png

我们看到有三列数据,它们分别代表了 :验证类别、控制标志、PAM 模块与该模块的参数。

你会发现在我们上面的表格当中第二列出现的是“include”这个关键词,他代表的是会调用后面的文件来作为这个类别的验证, 所以,上述的每一行都要调用/etc/pam.d/system-auth 那个文件来进行验证。

现在我们重点讲一下第一个字段验证类别和第二个字段控制标志。

验证类别:

验证类别主要分为四种:

auth:是 authentication (认证) 的缩写,所以这种类别主要用来检验使用者的身份验证,这种类别通常是需要口令来检验的, 所以后续接的模块是用来检验用户的身份。

account:账户模块接口,检查指定账户是否满足当前验证条件,检查账户是否到期等。

session:会话模块接口,用于管理和配置用户会话。会话在用户成功认证之后启动生效

password:密码模块接口,用于更改用户密码,以及强制使用强密码配置

控制标志:

required:若成功则带有 success (成功) 的标志,若失败则带有 failure 的标志,但不论成功或失败都会继续后续的验证流程。 由于后续的验证流程可以继续进行,因此相当有利于数据的登录 (log) ,这也是 PAM 最常使用 required 的原因。

requisite:若验证失败则立刻返回 failure 的标志,并终止后续的验证流程。若验证成功则带有 success 的标志并继续后续的验证流程。 这个项目与 required 最大的差异,就在于失败的时候还要不要继续验证下去。由于 requisite 是失败就终止, 因此失败时所产生的 PAM 信息就无法透过后续的模块来记录了。

sufficient:若验证成功则立刻回传 success 给原程序,并终止后续的验证流程;若验证失败则带有 failure 标志并继续后续的验证流程。 这玩意儿与 requisits 刚好相反!

optional :该模块返回的通过/失败结果被忽略。当没有其他模块被引用时,标记为optional模块并且成功验证时该模块才是必须的。

常用模块:

pam_securetty.so:

限制系统管理员 (root) 只能够从安全的 (secure) 终端机登陆;例如 tty1, tty2 等就是传统的终端机装置名称。那么安全的终端机配置呢? 就写在/etc/securetty 这个文件中。你可以查阅一下该文件, 就知道为什么 root 可以从 tty1~tty7 登陆,但却无法透过 telnet 登陆 Linux 主机了!

pam_nologin.so:

这个模块可以限制一般用户是否能够登陆主机之用。当/etc/nologin 这个文件存在时,则所有一般使用者均无法再登陆系统了!若 /etc/nologin 存在,则一般使用者在登陆时, 在他们的终端机上会将该文件的内容显示出来!所以,正常的情况下,这个文件应该是不能存在系统中的。 但这个模块对 root 以及已经登陆系统中的一般账号并没有影响。

pam_selinux.so:

SELinux 是个针对程序来进行细部管理权限的功能。由于 SELinux 会影响到用户运行程序的权限,因此我们利用 PAM 模块,将 SELinux 暂时关闭,等到验证通过后, 再予以启动!

pam_console.so:

当系统出现某些问题,或者是某些时刻你需要使用特殊的终端接口 (例如 RS232 之类的终端联机设备) 登陆主机时, 这个模块可以帮助处理一些文件权限的问题,让使用者可以透过特殊终端接口 (console) 顺利的登陆系统。

pam_loginuid.so:

我们知道系统账号与一般账号的 UID 是不同的!一般账号 UID 均大于500才合理。 因此,为了验证使用者的 UID 真的是我们所需要的数值,可以使用这个模块来进行规范!

pam_env.so:

用来配置环境变量的一个模块,如果你有需要额外的环境变量配置,可以参考/etc/security/pam_env.conf 这个文件的详细说明。

pam_unix.so:

这是个很复杂且重要的模块,这个模块可以用在验证阶段的认证功能,可以用在授权阶段的账号许可证管理, 可以用在会议阶段的登录文件记录等,甚至也可以用在口令升级阶段的检验!非常丰富的功能! 这个模块在早期使用得相当频繁喔!

pam_cracklib.so:

可以用来检验口令的强度!包括口令是否在字典中,口令输入几次都失败就断掉此次联机等功能,都是这模块提供的! 这玩意儿很重要!

2c59b68c51cb66f9c56abcbf348dc4be.png

HevBob
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
LinuxPAM模块学习总结
m0_74282605的博客
10-27 402
PAM使用配置/etc/pam.d/下的文件,来管理对程序的认证方式.应用程序 调用相应的配置文件,从而调用本地的认证模块.模块放置在/lib/security下,以加载动态库的形式进,像我们使用su命令时,系统会提示你输入root用户的密码.这就是su命令通过调用PAM模块实现的。在Linux进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。
PAM认证过程——用户从登录到登录成功
最新发布
weixin_53389944的博客
04-28 277
总的来说,PAM认证的详细过程包括验证账户信息、验证用户身份、设置会话信息和环境变量等步骤。通过PAM框架,系统可以方便地管理各种认证方式和验证规则,保障系统的安全性和稳定性。文件被认为是一个通用的PAM配置文件,包含了系统级认证过程的基本设置和模块调用顺序。操作系统会完成用户登录过程,并加载用户的会话信息和环境变量,允许用户访问系统资源。c. 如果需要进行额外的认证,如双因素认证、LDAP认证等,PAM会调用相应的。如果所有的PAM模块验证通过,PAM会返回认证成功的信息给操作系统。
Linux-PAM-1.1.8.tar.bz2下载
07-18
linux pam源码
Linux--PAM机制
TYJhhxx的博客
06-26 3513
一、PAM是什么? 二、PAM模块设置语法 2.1 /etc/pam.d/里面的配置文件 2.1.1第一个字段:验证类别(Type) 2.1.2第二个字段:验证的控制标识(control flag) 三、常用模块简介 总结
PAM模块详解及sudo命令
m0_65187145的博客
09-26 2041
它允许已验证的用户以其他用户的身份来运行命令。4.依据/etc/pam.d/passwd内的设置,引用相关的PAM模块逐步进行验证分析。3.PAM模块会到/etc/pam.d/找与程序passwd同名的配置文件。/lib64/security/*:PAM 模块文件的实际放置目录;/usr/share/doc/pam-*/:详细的 PAM 说明文档。/etc/security/*:其他 PAM 环境的配置文件;命令是权限委派的命令,在生产环境是非常常用的,默认情况下。
深入 Linux PAM 体系结构
wang11876的博客
06-20 499
为安全起见, 计算机系统只有经过授权的合法用户才能访问, 在这里如何正确认证用户的真实身份是一个关键的问题. 所谓用户认证, 就是用户向系统以一种安全的方式提交自己的身份证明, 然后由系统确认用户的身份是否属实的过程. 换句话说, 用户认证是系统的门户, 每个用户进入到系统都必须经过认证这一道关.
linux PAM模块简介
u010230019的博客
04-14 2066
pam
LinuxPAM安全认证机制.pdf
09-06
Linux 操作系统,安全认证机制是非常重要的,PAM(Pluggable Authentication Modules,插件认证模块)是Linux的一种安全认证机制。PAM的主要作用是提供一个统一的认证接口,让不同的认证模块可以插入到系统,...
linux Pam认证
09-08
PAM(Pluggable Authentication Modules)即可插拔式认证模块,它是一种高效而且灵活便利的用户级别的认证方式,它也是当前...当然,在不同版本的Linux部署PAM认证是有所不同的,本文将以RHEL4版本为例进行解析
The Linux-PAM System Administrators' Guide 1.1.2
10-11
Linux-PAM(Pluggable Authentication Modules,插入式身份验证模块)是 Linux 操作系统的一种身份验证机制,允许系统管理员根据需要选择和配置不同的身份验证模块,以满足不同的身份验证需求。本指南将为系统管理...
Linux-PAM-1.3.0.tar.gz_PAM_linux_pam 1.3.1
09-23
Linux-Pam-1.3.0.tar.gz is a package for installing PAM.
pam.tar.gz_linux pam _linux-pam
09-24
PAM的介绍资料,如何使用Linux下的加密机制等。
linux pam开发手册
09-26
该文档适用于,对linux 有一定了解,从事或者正要从事linux pam模块开发的同学
LinuxPAM验证体系分析.pdf
09-06
LinuxPAM验证体系分析.pdf
利用PAM增强Linux登录认证安全性.pdf
09-07
"利用PAM增强Linux登录认证安全性" 本篇文章主要介绍了如何使用PAM(Pluggable Authentication Modules,插件式鉴别模块)来增强Linux登录认证安全性。文章首先分析了Linux登录机制,然后讨论了如何使用PAM进行用户...
linux操作系统PAM模块实例
11-06
Linux 操作系统 PAM 模块实例详解 PAM(Pluggable Authentication Modules)是由 Sun 公司提出的一种认证机制,初次集成在 Solaris 系统上。PAM 的出现解决了之前系统验证机制混乱的问题,提供了一套统一的验证机制...
CentOS7 基线检查
gd0913的博客
04-20 4212
口令锁定策略 威胁等级:Low 规则描述 设置口令认证失败后的锁定策略 审计描述 检查配置文件的/etc/pam.d/system-auth和/etc/pam.d/password-auth是否有 auth required pam_faillock.so preauth audit silent deny=5 unlock_time=180 auth [success=1 default=bad] pam_unix.so auth [default=die] pam_faillock.so auth
Linux账号安全控制与PAM认证模块
ShiXiao0121的博客
11-30 5871
这里写目录标题一、账号安全控制1.1、系统账号清理①、将非登录用户的Shell设为/sbin/nologin②、锁定长期不使用的账号④、解锁账号⑤、删除无用的账号⑥、锁定账号文件 passwd、shadow1.2、密码安全控制①、设置密码有效期**②、要求用户下次登录时修改密码③、命令历史限制④、终端自动注销⑤、切换用户:su⑥、限制使用su命令切换用户二、PAM认证模块 一、账号安全控制 1.1、系统账号清理 ①、将非登录用户的Shell设为/sbin/nologin usermod -s /sbin/n
13.5.3 【LinuxPAM 模块设置语法
明确的爱,真诚的喜欢,直接的厌恶,站在太阳底下的坦荡,被坚定的选择。
07-26 1720
account account (帐号)则大部分是在进行 authorization (授权),这种类别则主要在检验使用者是否具有正确的使用权限,举例来说,当你使用一个过期的密码来登陆时,当然就无法正确的登陆了。
linux pam 版本号,Linuxpam板块详解
06-08
LinuxPAM的配置文件通常位于/etc/pam.d目录下。每个应用程序都会有一个对应的PAM配置文件,例如登录服务对应的PAM配置文件是/etc/pam.d/login。在PAM配置文件,可以配置使用哪些模块和模块的顺序,以及如何...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值