Linux中的PAM作为管理员都应该不陌生,以前也读过《Linux-PAM System Administrators
guide》,但是看得很肤浅,今天又找了几个文档,仔细读了读,把我的理解记录下来备忘。
一、PAM的module按照用途可以分为以下四种类型:
auth
"auth"类型的module提供实际的用户认证过程。这个认证包含两个维度,首先,它会确认使用者是谁,通过让应用程序提示用户输入密码或者输入其它的认证因素(如让用户按指纹),确认用户确实是他声称的那个人;第二,它会给这个用户设置"受信凭证",例如设置用户属于某个组或者设置kerberos "tickets"。
account
"account"类型的module负责检查用户是否拥有合适的访问权限。可以用来检查的条件类似如下:用户的账号和密码是否过期,账号必须是系统账号,只有50个用户可以同时访问(FTP),只允许在规定时间登录,root只允许通过console进行登录等等。
password
"password"类型的module提供修改用户认证令牌(密码、指纹等)的功能。
session
"session"类型的module作用是指定用户在使用他的帐户之前的初始化工作和之后的清理工作。例如指定用户的根目录,指定用户的电子邮箱等等。
以上这四个类型的module可以堆叠,并且能多次使用。可以这么类比着理解,例如,我设定SSH使用两种认证方法,第一种是私钥方式,如果第一种方法验证成功了,当然就可以访问系统,如果私钥认证失败了,那么还要继续使用第二种方法,密码认证,如果密码认证也失败了就拒绝用户访问。
二、控制标志
因为上述四种类型module可以堆叠,并且能多次使用,那么必须有方法控制按照什么顺序和规则来检查这些module。这就是"控制标志"的作用。
"控制标志"告诉PAM根据module的返回结果(pass或fail)来进行下一步的动作。
PAM中总共有四种常用的"控制标志",还有高级语法可以参考管理员手册。
"required"
意思是只通过当前这个module的检查是不够的。如果没有带"sufficient"标志的module返回"pass",那么所有后续标记为"required"的module都要通过检查,并且都返回"pass"才算通过检查。如果任何一个带有"required"标志的module检查返回了"fail",则导致整个检查结果是"fail",但是其它带有"required"
的module还要继续执行检查,这是一个保护措施,因为只有这样hacker才不能靠逐个测试来知道到底哪个环节失败了。
"sufficient"
意思是如果当前这个module检查返回了"pass",那么所有后续的同种类型的module都被忽略,不用继续检查。如果当前module检查返回"fail",那么整个结果也不意味着就是"fail",只要后续有任何一个带"sufficient"标志的module
返回"pass"或所有后续的带"required"标志的moduel都返回"pass",则整个检查结果也是"pass"。
"requisite"
作用和"required"类似,可以看作是"fail
fast"版本的"required" 标志。
意思是如果当前module检查返回"fail",则不继续检查后续的module,直接返回"fail"。
"optional'
正如字面意思体现出来的含义,带有"optional"标志的module的检查结果不会影响最终的检查结果。
但是当整个堆栈中只有带有"optional"标志的module时,它的检查结果才有价值。
参考文档:Understanding
PAM
PAM
Tutorial
了解和配置
PAM
PAM-Linux可插可拔的認証模組
linux-pam_system_administrators_guide
linux-pam_system_administrators_guide的中文翻译
http://archive09.linux.com/feature/113567.html
295
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
