安全加密之-PAM

最新推荐文章于 2024-04-10 14:30:00 发布
最新推荐文章于 2024-04-10 14:30:00 发布
阅读量219 收藏
点赞数
文章标签: shell 运维
原文链接:https://yq.aliyun.com/articles/508061
版权

时间:2018.1.16
作者:李强
参考:man,info,magedu讲义,万能的internet
实验环境:VMware® Workstation 12 Pro ,Centos 6.9,Centos 7.4,SecureCRT Version 8.1.4
声明:以下英文纯属个人翻译,英文B级,欢迎纠正,以下内容纯属个人理解,并没有对错,只是参考,盗版不纠,才能有限,希望不误人子弟为好。

Pluggable Authentication Modules

  • 原由;

我们在系统中经常要用到各种认证,login登录需要认证,ssh,telnet ,ftp等需要认证,snmp,smtp等也需要认证,总之既然大家都需要认证,那么找个人统一管理下好不好。PAM有个各个认证模块,关于资源限制的,关于用户账号的,关于登录时间的,各个模块,当你的服务需要认证时,你只要把你的需求告诉PAM,它就会根据/etc/pam.d/下你指定的认证机制来去调用/etc/security下各个库。
各种应用服务只需要提供服务就好,验证的事情就交给系统和PAM来处理,然后告诉你是提供还是拒绝服务。
只要ldd 调用了libpam.so 库文件的都可以受其控制

  • 认证过程:
graph LR

A[application]-->B[libpam.so]
B[/etc/pam.d/application]-->C[/lib*/secure/*.so]
C[/lib*/secure/*.so]-->D[/lib*/secure/*.conf]

1.使用者执行/usr/bin/passwd 程序,并输入密码

2.passwd开始调用PAM模块,PAM模块会搜寻passwd程序的PAM相关设置文件,这个设置文件一般是在/etc/pam.d/里边的与程序同名的文件,即PAM会搜寻/etc/pam.d/passwd此设置文件

3.经由/etc/pam.d/passwd设定文件的数据,取用PAM所提供的相关模块来进行验证

4.将验证结果回传给passwd这个程序,而passwd这个程序会根据PAM回传的结果决定下一个动作(重新输入密码或者通过验证)

配置文件格式

man -k pam

查看各个pam中模块的使用帮助

man pam.conf

/etc/pam.d/下的配置文件格式

因为其子系统太多,因此默认不存在/etc/pam.conf配置文件。而是放在各个子配置文件中。各个应用的pam认证规则配置存放在/etc/pam.d中

回归正题格式为:
type control module-path module-arguments

typecontrolmodule-pathmodule-arguments
authrequire/lib64/securexxx
accountx
passwordx
-type x

  • type

    auth:账号的认证或授权
account:与账号管理的非认证的功能:如用来限制/允许用户对某个服务的访问时间,当前有效的系统资源(最多可以登录多少账户),限制用户的位置(root用户只能通过tty终端登录)等
password:用户修改密码时密码复杂度检查机制等功能
session:用户获得服务之前或者使用服务之后需要进行的一些附加操作,比如记录打开或关闭数据的信息,监控目录等
-type:表示因为缺失而不能加载的模块将不记录到系统日志,对那些不总是安装在系统上的模块有用
  • control(PAM库如何处理与该服务相关的PAM模块成功或失败情况,两种方式实现:简单和复杂)
简单方式实现:一个关键字实现
require:一票否决,表示本模块必须成功才能通过
requisite:一票否决,同上
sufficient:一票通过,表示本模块返回成功则通过身份认证
optional:可选,它的成功与否不会对身份认证起关键作用,参考用
include:调用其他配置文件中定义的配置信息

复杂方式实现: 使用一个或多个"status=action"
[status1=action1 status2=action2....]
Status:检查结果的返回状态,success ,default
Action:ok,done,bad,die,ignore,reset
ok 模块通过继续检查
done 模块通过,返回最后结果给应用
bad 结果失败,继续检查
die 结果失败,返回失败结果给应用
ignore 结果忽略,不影响最后结果
reset 忽略已经得到的结果
  • module-path(模块路径,一般相对路径/lib64/security下模块)
pam_nologin.so 普通用户允许登录,如果/etc/nologin文件存在,非root用户不能登录,如果用shell是/sbin.nologin 登录时会显示/etc/nologin文件内容,并拒绝登录
pam_shells.so 控制登录终端类型,检查登录用户shell类型为 /etc/shells中的类型,方可登录
pam_securetty.so 只允许root登录在/etc/securetty列出的安全终端上
pam_limits.so 在用户级别实现对其可用的资源限制,例如:可打开的文件数量,可运行的进程数量,可使用的内存空间等。
修改限制的方式
1、ulimit命令,立即生效,单无法保存,只在当前会话有效
2、配置文件/etc/scurity/limits.conf,/etc/scurity/limits.d/*.conf
  • module-arguments (用来传递给该模块的参数,配置少时用参数,多时可以考虑/etc/security下的各个模块的配置文件)
本文转自 lajifeiwomoshu 51CTO博客,原文链接:http://blog.51cto.com/lajifeiwomoshu/2061652

weixin_34014555
关注
62.第十四章 加密安全 -- PAM认证机制和时间同步服务(六)
Raymond的博客
02-03 546
5.PAM认证机制 5.1 PAM 介绍 认证库:文本文件,MySQL,NIS,LDAP等 PAM:Pluggable Authentication Modules,插件式的验证模块,Sun公司于1995 年开发的一种与认证相关的通用框架机制。PAM 只关注如何为服务验证用户的 API,通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序一种认证框架,自身不做认证 5.2 PAM 架构 PAM提供
linux pam使用手册,Linux-PAM系统管理指南(一)
weixin_32924669的博客
05-14 1327
当前位置:我的异常网» Linux/Unix»Linux-PAM系统管理指南(一)Linux-PAM系统管理指南(一)www.myexceptions.net网友分享于:2015-08-26浏览:1次Linux-PAM系统管理指南(1)摘要:Linux-PAM是一组共享库,使用这些模块,系统管理者可以自由选择应用程序使用的验证机制。也就是说,勿需重新编译应用程序就可以切换应用程序使用的...
【Linux云计算架构:第三阶段-Linux高级运维架构】第17章——Linux系统安全概述-sudo授权-pam认证机制-对称加密-非对称加密-md5-数字证书
就叫一片白纸的博客
07-17 654
本节内容: 17.1 Linux系统安全概述-su-sudo授权 17.2 pam认证机制概述 17.3 对称加密-非对称加密方法 17.4 md5-sha1-哈希算法使用方法 17.5 CA证书的作用 本节所使用实验环境:RHEL 7 (如有使用RHEL 6,会特别注明) 17.1 Linux系统安全概述-sudo授权 17.1.1 Linux第三阶段资深知识整体概述: /安全、稳...
加密-CA-PAM
wang94sh11b3的博客
10-18 995
加密-CA-PAM
PAM安全配置-用户密码锁定策略
最新发布
wangluoanquan111的博客
04-10 1052
PAM是一个用于实现身份验证的模块化系统,可以在操作系统中的不同服务和应用程序中使用。
Vsftp搭建(一)与PAM验证 SSL加密 登陆
Kevin_stu_Info的专栏
03-21 2677
Vsftp常用参数一览表: 编 参数选项 意义及用法 一、全局配置参数(同样用于本地用户、匿名用户、虚拟用户) 登录信息参数:   1 dirmessage_enable=YES 当切换目录时,显示该目录下.message隐藏文件的内容。 默
Linux-PAM的分析与应用.pdf
09-06
通过PAM,系统管理员可以轻松地添加或替换新的认证机制,例如从纯密码认证切换到加密的SSH密钥认证,只需修改配置文件即可。这极大地增强了系统的安全性,同时减少了维护工作量。此外,PAM还支持多种认证协议,如...
TheLinux-PAM系统管理员指南.doc
02-23
《Linux-PAM系统管理员指南》 ...总之,《Linux-PAM系统管理员指南》是管理员理解和利用PAM系统的关键资源,它详细介绍了如何配置和管理PAM以适应不断变化的安全需求,为Linux系统的安全性提供了强大的工具。
OpenTrust-PAM-开源
04-24
在技术实现上,OpenTrust-PAM能够根据存储在LDAP(Lightweight Directory Access Protocol)目录中的配置文件来实施安全策略。LDAP是一种标准的网络协议,用于访问和管理分布式目录信息。它允许PAM灵活地管理和应用...
Tugas-PAM意图
02-08
通过深入研究这些文件,我们可以更全面地了解Tugas-PAM-Intent项目是如何实现权限访问管理的,并从中学习到Java安全框架的使用和实践。对于希望提升自己在Java安全领域的开发者来说,这是一个宝贵的资源。
linux的PAM认证和shadow文件中密码的加密方式
chenyulancn的专栏
09-28 2238
PAM全称是:Pluggable Authentication Modules,中文叫“可插入认证模块”。 它是一种统一的认证方案。PAM 让您能随时改变您的认证方法以及需求,并且不需要重新编译任何代码就封装了所有本地认证方法。具体见 PAM 网站。 对于 PAM 您只需要做: 对您的密码采用不同于 DES 的加密方式(让它们面对暴力解码(brute-force decode)时
系统是否有后门?Linux安全加固之PAM知多少
jiangzhuwanshi2008的博客
02-16 2247
前言Linux在新装的系统中,更改用户的密码时可能会遇到以下报错:BAD PASSWORD: The password fails the dictionary check - it is based on a dictionary word这是由于系统会对新密码进行检查,如果系统觉得新密码过于简单或不安全,系统就会报错。如果想继续使用简单的密码,通常可以通过更改/etc/pam.d/sysyst...
Linux系统 PAM
elihe2011的专栏
03-15 767
PAM: Pluggable Authentication Modules 插件式鉴别模块,由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。 PAM体系结构 app1 app2 app3
Linux--PAM机制
TYJhhxx的博客
06-26 4221
一、PAM是什么? 二、PAM模块设置语法 2.1 /etc/pam.d/里面的配置文件 2.1.1第一个字段:验证类别(Type) 2.1.2第二个字段:验证的控制标识(control flag) 三、常用模块简介 总结
PAM从入门到精通(七)
phmatthaus的专栏
10-19 586
PAM从入门到精通(七)
Linux下PAM模块学习总结
weixin_33717298的博客
03-29 1009
  在Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 一、PAM模块介绍 Linux-PA...
一起写PAM(一)
Sunwind的专栏
07-06 4147
开始学着写PAM了,一值期盼在*nix下做些东西,之所以期盼是因为这里没有神秘的窗户纸,前段时间做windows下的安全开发(当然是初级的),也许是信息检索能力的欠缺吧,想找到一些有用的东西是那么艰难,很多时候查找资料花费了好几天最后一两行代码解决了问题.最让我疑惑的是能解决问题
pam密码复杂度设置
热门推荐
black_yu的博客
12-06 2万+
pam密码复杂度设置 1.安装libpam_cracklib      系统对密码的控制是有两部分组成:      1 cracklib       2 /etc/login.defs      apt-get install lib_cracklib或者下载两个deb包:cracklib-runtime     libpam_cracklib      可以通过查找pam_c
Linux-PAM系统管理员配置与安全指南
通过PAM,系统管理员可以应对不断变化的安全威胁,保持系统的安全性与灵活性。 《Linux-PAM系统管理员指南》是理解、配置和管理Linux系统认证机制的重要参考资料,对于保障系统安全、控制访问权限具有重要作用。这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值