用户账户

用户账户

摘要：NSS和PAM认证

    要使验证能够正确进行，就必须提供你的两种基本信息。首先需要的是账户信息，它提供有关账户的基本信息，例如UID号码，主GID号码，默认shell等等。其次需要的是验证信息，它用来证明用来访问账户的密码的正确性。本地用户的账户信息被保存在/etc/shadow文件中。对于中央管理的而昂罗用户，两类信息都被保存在一个或多个网络服务中。
                                                      账户信息（名称服务）
    必须在登录是提供关于用户账户的基本信息，这些信息包括账号的UID号码，主UID号码，账号的主目录，它的默认shell等。最初，这些信息被保存在/etc/passwd这类本地文件中。
    应用程序通常不直接在/etc/passwd文件中寻找这类信息。他们使用系统的标准C程序库提供的库功能来查找。例如，getpwnam()功能能够查找通常保存在/etc/passwd文件中的账户信息。添加对新信息源（名称服务），如NIS或LDAP的支持，设计到适当改变C程序库。修改后可使所有使用这些库功能的应用程序可以立即从中获益。
    用户使用名称服务来查找其他用户账户。例如，LInux使用UID和GID号码来保存文件权限。每当用户列出目录来显示每个文件的拥有者和组群的名称时，都会用到名称服务。
    名称服务切换（NSS）
    名称服务切换或NSS，是一种允许对libc支持的名称服务进行配置和扩展的机制。辅助名称服务库被安装为/lib/libnss_service.so文件，例如，/lib/libnss_files.so支持从标准本地文件中检索名称服务信息。
    /etc/nsswitch.conf文件控制要使用的名称服务及其使用次序。每一行代表一个被libc功能使用的名称管理数据库（“名称服务”）。每一行的第一项指定要配置的名称服务，随后是冒号：
aliases,ethers,group,hosts,netgroup,networks,passwd,protocols,rpc,services,shadow
数据库名称通常与/etc/中用来保存该信息的文件名称相符。这一行的其他项目包括用空格间隔的可依次查找信息的名称服务。查找到的第一项匹配生效。例如：
passwd:  files nis ldap
这行指定通常被保存在/etc/passwd中的信息，首先在本地文件中查找，然后使用NIS服务器，然后使用LDAP服务器。
    getent是用来检查名称服务操作情况的一个重要工具。getent可以从任何标准C库数据库中查找名称。它还能够在标准输出中提供相应数据库转储。这对于类似以下的问题解决很有帮助：“系统上没有使用相同UID的用户？”，“该用户是不是本地文件和NIS中都有记录？”
    例如，getent passwd root这个命令可能会产生以下输出：(语法：getent database  name)
        root:x:0:0root:/root:/bin/bash
   验证
   最初，用用程序使用NSS来保存密码散列以及常规账户信息。在试图登录是，应用程序会为输入的密码加密，使用getpwnam()来查找NSS中该账户的passwd文件信息，然后和加密的密码作比较。如果密码散列匹配，这说明所输入的密码是正确的，用户就通过验证。本地用户验证仍旧在使用于此相同的基本方法。
    其他验证用户的方法已被开发出来。如果现代应用程序仍旧调用libc功能直接验证用户，那么每个程序都得重新编写以便支持不在NSS保存散列的密码验证机制。
                                            PAM认证加强Linux服务器的安全

PAM(Pluggable Authentication Modules)即可插拔式认证模块，它是一种高效而且灵活便利的用户级别的认证

方式，它也是当前Linux服务器普遍使用的认证方式。
1.部署PAM认证的必要性

我们知道一台Linux服务器会开许多不同的服务，这些服务中很多服务本身并没有认证功能，只是把认证交给用

户名及密码。如果这样的话，那么所有服务都用Linux系统的用户名及密码来认证，对于服务器来说是很危险的

。比如一台服务器开着FTP、SMTP、SSH等服务，那么新建一个用户默认就享有对以上的服务的操作权限，那么如

果一个用户的帐号密码泄露会涉及到多个服务。因此，不管是PC还是服务器在类Linux系统中部署PAM认证是非常

必要的。通过新型的认证模块——PAM就能解决认证方面的不足，加强Linux系统安全。

2.PAM认证的方式

PAM认证一般遵循这样的顺序：Service(服务)→PAM(配置文件)→pam_*.so。PAM认证首先要确定那一项服务，然

后加载相应的PAM的配置文件(位于/etc/pam.d下)，最后调用认证文件(位于/lib/security下)进行安全认证。通

常情况下，在Linux系统安装完成后会在/etc/pam.d路径下为我们提供了一些默认的配置文件。另外，大家要知

道/lib/security目录是认证文件的默认存放位置。/etc/pam.d路径下的默认配置文件是我们进行PAM配置的模板

，通常情况下我们根据安全需要对于进行修改或者添加相应的项即可。

3.PAM认证的构成

客观地说PAM认证还是比较复杂的，简单地讲它包括四种常见认证类型(module type)：即auth认证管理、

account用户管理、password密码认证管理、session会话管理。以/etc/pam.d/login为例，我们可以看到它的配

置文件，区域1中的auth、account、password、session等都是认证类型。区域2中的required、 requisite 、

sufficient 、optional是认证的流程控制。最后面的区域3就是认证的PAM文件了。

4.PAM认证的流程

为了便于大家深入了解PAM认证的流程，我们以验证用户登录的PAM-login为例进行说明。PAM认证流程是从行首

验证到行尾，逐条认证。比如用户登录服务器，共有十条auth类型认证，假设第一条认证失败，一般情况后九条

也必须要认证。为什么就一般情况呢?其实还有非一般情况。那么这个用户动作成功与否是要看auth认证后面的

区域2是怎么处理的。在有的处理字段有required和optional，其中required代表认证必须通过，也就是说，无

论成功多少条语句，只要失败一条，那么认证就失败。

5.PAM认证测试

pam_securetty.so是一个认证模块文件，该认证模块只对root用户有效，当root登录系统时，会查看有没有安全

终端，安全终端就是/etc/securetty文件里的东西，比如你运行“W”命令看到TTY下面的东西就是安全终端。如

果有安全终端就通过认证，否则失败。有些管理员为了安全，不让root用户直接登录，他会把/etc/securetty文

件清代空，这就保证了在有root密码时，也不能够在本地登录。

为了以下的实验方便，能看出效果来，我们把“auth required pam_securetty.so”这条认证加入SSH服务的PAM

模块谁文件里(/etc/pam.d/sshd)的第一行，目的就是让SSH服务应用这条认证。大家可在控制台窗口中执行“vi

etc/pam.d/sshd”然后添加这条认证语句。同样的道理，如果把这条语句加到login文件(默认这条认证是被注销

掉的，我们取消前面的#就可以了)，控制的是从本地控制台登录，同样的话如果把这条语句加入到sshd文件内，

那么它将控制的是从远程登录服务器22端口的过程。

下面我们试着SSH登录系统看看效果，在控制台中执行命令“ssh -l root localhost”，可以看到无论我们的

root用户的密码正确与否都无法通过SSH远程登录到系统，可见上面的认证已经生效。在一般情况下，为了服务

器的安全，大家通过PAM认证拒绝root远程登录系统。

6.PAM认证的处理方式

了解了认证类型的工作方式，我们还应该深入的理解认证的处理方式，在图2中看到，它的认证处理方式是

required，表示这一模块的认证是必须成功的，但如果失败，认证过程不会即刻终止，PAM将继续下一个同类型

认证。上面“pam_securetty.so”认证失败了，但认证并没有结束，认证的“指针”还在向下走。如图4中所示

，在root用户SSH登录认证失败的前提下还提示用户输入密码，虽然认证不可能成功。

处理过程中除了required，还有requisite、sufficient和optional，我们再来看看requisite的效果。还用SSH

服务为例，把/etc/pam.d/sshd文件第一行中的“auth required pam_securetty.so”改成“auth requisite

pam_securetty.so”。再次尝试登录，发现和图4没有什么差别，也是输入3次密码后被拒绝了。但是细心的读者

如果一边看文章一边尝试着实验的话，你会发现当你在输入密码时，用required反应的速度要慢一些，并且在系

统日志中是没有记录的，认证同样是失败的。这说明required和requisite类似的地方是认证必须通过，而不同

的是如果失败，认证过程将立即终止，不会去认证下面的条目。

7.限制root登录控制台

我们修改用/etc/pam.d/login来限制root登录控制台，打开login文件删除第二行中的#，取消对“auth

required pam_securetty.so”的注销。然后我们本地登录服务器，通过测试我们发现当用required时，你在输

入root及密码后，你得到了一个拒绝信息，用requisite时，当你输入root回车时同样会得到拒绝信息登录失败

，这是由刚才的认证方式触发的。

8.PAM认证可选模块

在PAM认证中，sufficient表示如果认证成功，那么对这一类型的模块认证是充足的了，其他的同类模块将不会

再检验，当认证失败，它会进行下一条认证，如果下面同类型的认证成功，结果依然成功。optional表示这一模

块认证是可选的，也不会对认证成功或失败产生影响，这个就比较危险了。比如我们在/etc/pam.d/sshd文件内

加入“auth required/lib/security/pam_listfile.so item=user sense=allow file=/etc/sshusers

onerr=succeed”其含义是只允许出现在/etc/sshuser文件内的用户远程登录。然后我们执行命令“ssh -l root

localhost”，当sshusers文件没有root用户时候，登录失败，很明显他被PAM模块拒绝了。那么我们改一下认证

文件，将required改成sufficient，尝试再次登录，结果成功登录。

AM所有的认证函数库存放于/lib/security/pam_*.so，并由/etc/pam.d/目录下对应的文件进行调用。在验证请

求时，应用程序通过libpam函数库来提供服务。具体使用哪些PAM函数库进行验证，则由/etc/pam.d/目录下对应

的设置文件决定。libpam 提供函数共享服务，而且可以动态载入。
详列：

1 PAM工作机制

/lib/security目录下的每一个认证模块都会返回pass或者fail结果，部分程序使用/etc/security目录下的设置

文件决定认证方式。应用程序调用PAM模块认证的配置，存放于/etc/pam.d，文件名与应用程序名对应，文件中

的每一行都会返回一个成验证功还是失败的控制标志，以决定用户是否拥有访问权限。

2 PAM验证类型

* auth 验证使用者身份，提示输入账号和密码
* account 基于用户表、时间或者密码有效期来决定是否允许访问
* password 禁止用户反复尝试登录，在变更密码时进行密码复杂性控制
* session 进行日志记录，或者限制用户登录的次数

libpam函数库会可以调用以上一种服务或者全部。

3 PAM验证控制类型(Control Values)

验证控制类型也可以称做Control Flags，用于PAM验证类型的返回结果。

* required 验证失败时仍然继续，但返回Fail(用户不会知道哪里失败)
* requisite 验证失败则立即结束整个验证过程，返回Fail
* sufficient 验证成功则立即返回，不再继续，否则忽略结果并继续
* optional 无论验证结果如何，均不会影响(通常用于session类型)

代码:
验证结果对照表
┌──────────┬──────┬─────────────┬────────────────

┐
│          │Result│Keep testing?│       Affect   │
├──────────┼──────┼─────────────┼────────────────

┤
│          │Pass  │     Y       │Define by system│
│Required  │Fail  │     Y       │Fail            │
├──────────┼──────┼─────────────┼────────────────

┤
│Requisite │Pass  │     Y       │Define by system│
│          │Fail  │     N       │Fail            │
├──────────┼──────┼─────────────┼────────────────

┤
│Sufficient│Pass  │     N       │Define by system│
│          │Fail  │     Y       │Ignore          │
└──────────┴──────┴─────────────┴────────────────

┘

验证示例1
┌─────┬────────┬───────┬─────┬─────┬─────┐
│     │        │       │user1│user2│user3│
├─────┼────────┼───────┼─────┼─────┼─────┤
│Auth │Required│Module1│Pass │Fail │Pass │
├─────┼────────┼───────┼─────┼─────┼─────┤
│Auth │Required│Module2│Pass │Pass │Fail │
├─────┼────────┼───────┼─────┼─────┼─────┤
│Auth │Required│Module3│Pass │Pass │Fail │
├─────┴────────┴───────┼─────┼─────┼─────┤
│       Result         │Pass │Fail │Fail │
└──────────────────────┴─────┴─────┴─────┘

验证示例2
┌─────┬──────────┬───────┬─────┬─────┬─────┐
│     │          │       │user1│user2│user3│
├─────┼──────────┼───────┼─────┼─────┼─────┤
│Auth │Required  │Module1│Pass │Fail │Pass │
├─────┼──────────┼───────┼─────┼─────┼─────┤
│Auth │Sufficient│Module2│Pass │Pass │Fail │
├─────┼──────────┼───────┼─────┼─────┼─────┤
│Auth │Required  │Module3│ N/A │ N/A │Pass │
├─────┴──────────┴───────┼─────┼─────┼─────┤
│       Result           │  T  │  F  │  T  │
└────────────────────────┴─────┴─────┴─────┘
4 /etc/pam.d目录中的配置文件

每一个配置文件均有四栏：第一栏验证类型，第二栏验证控制标准，第三栏调用的PAM模块，第四栏为使用的参

数。

module_type control_flag module_location arguments

每一行记录均是一个阶段性的测试。
代码:
[root@wardking ~]# cat /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
auth与account调用的模块直接影响到用户是否可以执行程序。

password是在用户更改密码时使用。

session用于记录用户验证成功以后的操作记录。

5 pam_stack特殊模块

当有多个应用程序需要使用相同的验证模块时，可以编辑一个pam设置文件，定义共同调用的模块，存储

于/etc/pam.d目录中，供应用程序调用。例如system-auth设置文件，可以供不同的应用程序调用，如果对其进

行修改，可以变更系统验证策略。

6 pam_unix模块

可以调用传统的NSS系统，即libnss函数库。可以用于PAM的四种验证方式，使用auth方式可以取得用户的密码，

使用accont方式检查用户的密码是否已经过期，，使用password方式可以检查用户在修改密码时进行控制，使用

session方式记录用户登录登出日志。

7 网络验证

可以通过网络登录方式来验证用户

* pam_krb5(Kerberos V tickets)
* pam_ldap(LDAP binds)
* pam_smb_auth(old SMB authentication)
* pam_winbind(SMB throuth winbind)

某些名称服务也可以通过pam_unix调用libnss函数库中的模块进行验证(NIS, Some LDAP configurations)，而

不一定使用以上的四个模块

8 认证模块

pam_security模块只会对root有影响。当root账户登录时，pam_security会参考/etc/securetty目录中的

console列表，以决定root是否可以登录，避免用户从不安全的终端登录。

pam_nologin模块会确认/etc/nologin文件是否存在，如果存在，普通用户则会验证失败，只允许root用户登录

。

pam_listfile模块会确认要求登录的用户账号与允许的账号名单是否冲突，必须建立一个允许登录或者拒绝登录

的名单。

auth required pam_listfile item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed

9 增强用户密码安全性

pam_unix有两个参数，可以增强用户密码安全性

* pam_unix MD5 passwords 使用MD5编码进行加密
* pam_unix shadow passwords 将加密后的密码存放于/etc/shadow文件中，并且限制普通用户访问，而且限制

用户密码有效期

还有其它的模块可以起到类似作用，比如pam_krb5

10 密码安全性原则

可以定义普通用户设置密码时必须遵行一定的策略。

* password history记录用户曾经使用过的密码
pam_unix with remember=N (记录用户使用过的前N个密码，并且禁止再次使用这些密码)

* pasword length 密码长度及复杂性
pam_cracklib模块规定用户必须使用大小写字母、数字、特殊符号做为密码，而且不能是字典中的单词
pam_passwdqc模块与cracklib类似，只是不检查字典中的单词

* failed login monitoring 监控用户登录失败的次数
pam_taily登录失败次数过多，则锁定账号

11 pam_limit

pam_limit 限制用户可以使用的系统资源，调用 /etc/security/limits.conf文件，限制用户使用的内存、可以

启用多少线程
代码:
#*               soft    core            0
#*               hard    rss             10000
#@student        hard    nproc           20
#@faculty        soft    nproc           20
#@faculty        hard    nproc           50
#ftp             hard    nproc           0
#@student        -       maxlogins       4
可以使用ulimit覆盖soft设置项，但是仍然受限于hard

12 pam_console

pam_console模块：当用户登录到console后，将拥有部分特别权限。这些权限在/etc/security/console.apps目

录中定义。

例如：用户登录后拥有重新启动计算机的权限

代码:
[root@wardking ~]# cat /etc/security/console.apps/reboot
FALLBACK=true
也可以用在auth验证类型中，用户在本地成功登录后，就会拒绝其它远程登录请求。

13 其它程序调用PAM

除用户登录验证以外，在普通用户使用系统管理工具时，也需要提供验证，例如su, reboot, system-*工具等。

pam_rootok模块用来确认用户是否是root身份

pam_timestamp模块用于记录用户执行sudo的时间间隔，如果在5分钟之内验证成功，则直接通过验证，而不再需

要输入密码

pam_xauth模块用于将验证的临时文件转发给其它程序

14 实例分析

代码:
[root@wardking ~]# cd /etc/pam.d
[root@wardking pam.d]# cat config-util
#%PAM-1.0
auth            sufficient      pam_rootok.so
auth            sufficient      pam_timestamp.so
auth            include         system-auth
account         required        pam_permit.so
session         required        pam_permit.so
session         optional        pam_xauth.so
session         optional        pam_timestamp.so
/etc/pam.d/config-util是一个pam_stack类型的特殊模块，提供给system-config-*等多个应用程序共同调用。

auth sufficient pam_rootok.so

这一条命令将检查用户的身份，调用pam_rootok.so模块，如果被验证的用户是root，则返回Pass。如果不是

root用户，则返回Fail。由于此条命令使用sufficient控制标志，即使验证失败也将执行后续命令。

auth sufficient pam_timestamp.so

如果第一条命令验证失败，则可以断定当前被验证用户是普通用户。因此在第二条命令中使用pam_timestamp.so

模块，检查该用户是否在5 分钟之内成功运行了sudo命令，如果是返回Pass，否则返回Fail。这条命令同样使用

了sufficient控制标志，因此在验证失败时仍将执行后续命令。

auth include system-auth

第三条命令使用pam_stack.so模块，调用当前目录下的system-auth配置文件。system-auth定义了较多的PAM命

令语句，其主要作用是提示普通用户输入root账号的密码。

account required pam_permit.so

第四条命令以account类型调用pam_permit.so模块，基于当前账户的有效性（账户是否禁用或者过期）来允许或

者拒绝访问。由于该条命令以required控制标志执行，如果验证结果仍然Fail，则整个过程验证失败。

最后三条session命令，将对整个验证过程进行日志记录，写入到/var/log/secure中。

 

转载于:https://blog.51cto.com/yueyang/586213