linux身份鉴别检查方法,Linux身份鉴别机制实现分析(6)

最新推荐文章于 2024-04-18 09:56:40 发布
最新推荐文章于 2024-04-18 09:56:40 发布
阅读量462 收藏
点赞数 1
文章标签: linux身份鉴别检查方法
本文详细分析了Linux系统中PAM(Pluggable Authentication Modules)的身份鉴别机制,重点介绍了parse_args()、isipaddr()、are_addresses_equal()、login_access()等核心函数的功能和作用。这些函数在配置文件解析、IP地址判断、权限验证等方面起到关键作用,确保用户登录的安全性和权限控制。
摘要由CSDN通过智能技术生成

原标题:Linux身份鉴别机制实现分析(6)

2.4.2.5内部函数

1. parse_args()

函数原型:

static int parse_args(pam_handle_t *pamh, struct login_info *loginfo,int argc, const char **argv)

函数功能:是用于解析配置文件中的信息

函数参数:pam_handle_t结构体表示整个PAM过程信息,loginfo表示用户信息,argc是配置文件中命令行参数个数,argv表示配置文件中命令行参数数组。

返回值:正确则返回0。

2. isipaddr()

函数原型:static int isipaddr (const char *string, int *addr_type,struct sockaddr_storage *addr)

函数功能:判断传递的字符string是否为ip信息

函数参数:string表示传递的表示IP的字符串,addr_type表示IP地址类型,addr表示用于存储的socket中地址类型。

返回值:整型的is_ip,是IP则返回0,不是则返回1.

3. are_addresses_equal()

函数原型:static int are_addresses_equal (const char *ipaddr0, const char *ipaddr1,const char *netmask)

函数功能:函数是将得到的IP地址与真实的IP相比较,查看是否一致。

函数参数:获得的ipaddr0和ipaddr1都是IP地址,netmask也表示IP地址。

返回值:相同则返回0。

4. login_access()

函数原型:static int login_access (pam_handle_t *pamh, struct login_info *item)

函数功能:通过读取配置文件中的信息验证用户是否具有权限

函数参数:pamh为整个PAM的过程参数,item是login_info的结构体表示传递的用户信息。

返回值:成功则返回0。

5. list_match()

函数原型:static int list_match (pam_handle_t *, char *, char *, struct login_info *,match_func *);

函数功能:查看配置文件中该行是否符合编写要求

函数参数:pam_handle_t为整个PAM过程,login_info表示用户信息。

返回值:成功则返回0。

7. user_match()

函数原型:static int user_match (pam_handle_t *, char *, struct login_info *);

函数功能:查看用户名是否相符。

函数参数:pam_handle_t为整个PAM过程,login_info表示用户信息。

返回值:若相符合则返回0。

8. group_match()

函数原型:static int group_match (pam_handle_t *, const char *, const char *, int);

函数功能:查看组名是否相符合。

函数参数:pam_handle_t为整个PAM过程,login_info表示用户信息。

返回值:若相符合则返回0。

9. from_match()

函数原型:static int from_match (pam_handle_t *, char *, struct login_info *);

函数功能:查看远程登录名是否符合。

函数参数:pam_handle_t为整个PAM过程,login_info表示用户信息。

返回值:若相符合则返回0。

10. string_match()

函数原型:static int string_match (pam_handle_t *, const char *, const char *, int);

函数功能:查看字符串是否相符合。

函数参数:pam_handle_t为整个PAM过程,login_info表示用户信息

返回值:若相符合则返回0。

11. network_netmask_match()

函数原型:static char *number_to_netmask (long netmask, int addr_type,

char *ipaddr_buf, size_t ipaddr_buf_len)

函数功能:查看网络掩码是否相符合。

函数参数:netmask表示网络掩码,addr_type表示传递的网络掩码类型,ipaddr_buf表示网络地址,ipaddr_bud_len表示地址长度。

返回值:若符合则返回0。

这里对login_access()函数进行更具体的分析,其流程图如下:

f78034a2c8f8291a3a1ccf55a1814d06.png

图2-8 pam_sm_authenticate函数流程图

(1)打开相应配置文件,开始逐行读取配置文件信息;

(2)如果行开头为“#”,则忽略此行,读取下一行命令;

(3)如果有空白行,则跳过空白行,读取下一行命令;

(4)获得配置文件中关于用户权限、用户名、以及登录来源的信息,并查看格式是正确;

(5)根据得到的用户名及登录来源通过list_match查看是否为正确的用户名及登录来源;

(6)如果都符合且权限行为“+”,则赋予权限。

2.4.2.6 核心代码注释

8b45d2f5463a0df4962370cc56c7a958.png

a0db49d2a2c9138088f1bf7925b6053e.png

6334d1070861721c6353120a1ec69be2.png

a9621f1fb576d62ca31ed094bdde94be.png

bc0640e1362e8a0d2bdb885aab0c9d74.png

0bd7fd6fb98dcb01f56eb08277d9f940.png

16a47da82595c7d421cc7d74558f76d6.png

734c6c4cf49135bf9f3fa375a7a6f52f.png

02037a932b147bab1c531b618113d6b9.png

责任编辑:

pmp李先知老师
关注
《网络安全自学教程》- Windows安全标识符,身份鉴别和访问控制
wangyuxiang946的博客
04-23 1万+
这篇文章详细介绍Windows和Linux如何标识用户,如何根据标识验证用户身份,如何根据用户身份做访问控制。
Linux身份鉴别机制实现分析
m0_74282605的博客
03-06 250
每个接口都对应四种服务类型,调用某种类型的API,就应该使用对应类型的服务模块,而对于服务模块来说,同样的,调用某种类型的SPI,就应该属于某种服务类型,在配置文件的编写中就需要注意是否是属于该服务类型。在系统中对用户进行身份验证可以说是系统安全性保护的第一道门槛,只有通过了用户身份验证,系统才会赋予不同的权限给用户,用户才能使用该系统资源。其结构图如图2-1所示。在/etc/shadow中所存放的用户帐号密码是经过加密的,所以当获得用户输入密码之后要通过crypt()这个函数来对密码进行同等方式的加密;
Linux安全加固之身份鉴别+访问控制篇
派大星的不眠博客
09-13 985
linux安全加固之身份鉴别+访问控制
Linux身份鉴别机制概述
Linux阅码场
10-16 3576
PAM: 你是谁啊? 你的金光惊醒了石头的酣梦!21总体描述1.1 概述Linux身份鉴别机制是保护操作系统安全的重要机制之一,是防止恶意用户进入系统的一个重...
等级保护测评—Linux(CentOS)身份鉴别
w1304099880的博客
05-22 7716
目录身份鉴别a)应对登录的用户进行身份标识和鉴别身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现身份鉴别 a)应对登录的用户进行身份标识和鉴别身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期
基于SCAP的Linux主机身份鉴别安全配置核查策略研究.pdf
09-06
- **自动化检测**:使用SCAP工具可以自动检测Linux主机的身份鉴别机制是否符合安全策略,如密码复杂度、SSH密钥管理等。 - **标准化配置**:通过CCE,可以标准化Linux主机的身份鉴别配置,确保所有系统遵循一致的...
Linux安全操作系统构建方法与技术(第二讲)——标识、鉴别和可信通路.pdf
09-07
本资源讲解了Linux安全操作系统构建方法与技术的第二讲,主要介绍了标识、鉴别和可信通路的基本概念和实现机制。下面是本资源的知识点摘要: 1. 可信计算基(Trusted Computing Base):指计算机系统内部有关实施...
一种基于Linux-PAM模块的身份验证方法.pdf
09-06
Linux-PAM(可插拔身份验证模块)是Linux操作系统中的一种身份验证机制,它允许管理员和开发者灵活地管理和配置不同的身份验证策略。PAM的主要目的是解决传统Linux系统中验证功能与应用程序紧密耦合的问题,使得身份...
linux su鉴定失败解决方法
04-29
Linux操作系统中,"su"命令用于切换到超级用户(root)权限,这对于执行系统级管理任务至关重要。然而,有时用户可能会遇到"su"鉴定失败的问题,这通常是由以下原因引起的: 1. **未设置ROOT密码**:在安装Linux...
linux系统安全检查脚本工具
最新发布
08-13
检查脚本包含以下几块内容 1、系统基本信息 2、资源使用情况 3、系统用户情况 4、身份鉴别安全 5、访问控制安全 6、安全审计 7、磁盘信息 8、入侵防范安全 9、恶意代码防范 10、资源控制安全
实战|哈尔滨等保2.0 Linux主机测评过程之身份鉴别
weixin_45840241的博客
04-18 1254
这个能增强管理员管理用户口令的时效性,应该说在增强了系统的安全性;密码(已被加密,所以看到是一堆乱码,CentOS7以上都是采取的SHA256加密算法进行加密),如果是有些用户在这段是x,*,!上次修改口令的时间;这个时间是从UNIX的诞生日1970年01月01日算起到最近一次修改口令的时间间隔(天数),你可以通过passwd 来修改用户的密码,然后查看/etc/shadow中此字段的变化;此字段表示用户口令作废多少天后,系统会禁用此用户,也就是说系统会不能再让此用户登录,也不会提示用户过期,是完全禁用;
linux身份鉴别检查方法,Linux身份鉴别机制实现分析(2)
weixin_30314045的博客
05-13 635
2.3函数实现机制Linux中传统的UNIX验证方式中,crypt()函数是一个非常重要的函数,它是GNU标准库里面的函数,默认它是基于数据加密标准(Data Encryption Standard)算法,但是GNU也对这个函数进行了扩展,也可以使用MD5等其他的加密方式来进行加密。该函数原型为 char *crypt(const char *key,const char *salt);其中key...
linux登录认证源码,图解如何在Linux上配置git自动登录验证
weixin_30788095的博客
05-13 339
记录一下配置git操作远程仓库时的自动验证,效果如下图:本文介绍的是Linux下的配置。Windows上默认已经启用凭证存储和自动验证(依靠wincred实现,以后会使用GCM-Core)。准备工作首先需要Linux系统上安装了dbus或者是gnome-keyring(依赖于dbus),如果可能的话需要安装libsecret,这是一个更现代的用于凭证管理的库。因为我们需要借助dbus的servic...
等保2.0 Linux主机测评
ZL_1618的博客
07-31 1567
以下结果以CentOS 7 为例,按照等保2.0标准,2021报告模板,三级系统要求进行测评。
Python | 判定IP地址合法性的三种方法
weixin_34380296的博客
10-08 2344
IP合法性校验是开发中非常常用的,看起来很简单的判断,作用确很大,写起来比较容易出错,今天我们来总结一下,看一下3种常用的IP地址合法性校验的方法。 IPv4的ip地址格式:(1~255).(0~255).(0~255).(0~255) 正则表达式判定法 最简单的实现方法是构造一个正则表达式。判断用户的输入与正则表达式是否匹配。若匹配则是正确...
一起写PAM(一)
Sunwind的专栏
07-06 4147
开始学着写PAM了,一值期盼在*nix下做些东西,之所以期盼是因为这里没有神秘的窗户纸,前段时间做windows下的安全开发(当然是初级的),也许是信息检索能力的欠缺吧,想找到一些有用的东西是那么艰难,很多时候查找资料花费了好几天最后一两行代码解决了问题.最让我疑惑的是能解决问题
PAM从入门到精通(十三)
phmatthaus的专栏
10-19 329
PAM从入门到精通(十三)
[Funkunux] Linux_2.6.22.6 内核start_kernel函数分析之parse_args
FUNKUNUX
07-20 2381
在我的上一篇文章 [Funkunux] Linux_2.6.22.6的Makefile分析 中,已经找到linux内核的第一条代码的位置是head.s,在head.s中,内核将bootloader中传给内核的参数进行解析,比对机器ID等参数,设置页表,开启MMU,然后跳转到/init/Main.c中的start_kernel()中进行一系列初始化。以下是start_kernel函数的分析,重点
start_kernel启动函数——简版
weixin_34378045的博客
04-21 459
start_kernel函数是内核的入口函数,定义在init/main.c文件中。我们来一个一个函数看。 asmlinkage __visible void __init start_kernel(void) { char *command_line; char *after_dashes; se...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值