include详解 shell_Linux PAM 认证机制使用详解

最新推荐文章于 2024-07-19 10:52:37 发布

邓凌佳

最新推荐文章于 2024-07-19 10:52:37 发布

阅读量426

点赞数

文章标签： include详解 shell

本文链接：https://blog.csdn.net/weixin_42657024/article/details/112264809

版权

作者:悟空小饭

出处:https://gohalo.me/post/linux-pam-security-introduce.html

Linux 通常会通过 login 进程完成登陆，最开始时只是简单的提示用户输入用户名和密码，然后校验用户是否存在、密码是否正确，如果都正常，那么就会直接完成登陆，进入到 Shell 程序运行。

PAM 提供了独立于具体程序配置机制，可以更加灵活的鉴权方案，这里详细介绍其使用方式。

简介

通常在用户登陆时，需要有一套的验证授权机制，最开始的时候，这一整套的验证机制是硬编码到程序中的，这样当程序有 bug 或者需要修改验证策略时，只能修改源程序。

为了改善这些问题，人们开始思考其他的方法，也就是所谓的 Pluggable Authentication Modules, PAM 应运而生了。

PAM 提供了一整套的鉴权、授权、密码管理、会话管理机制等，只需要程序支持 PAM 框架，用户就可以在完全不修改程序的条件下，动态修改鉴权机制，例如除了常规的用户名密码登陆，还可以使用指纹、One-Time-Password 等机制。

运行机制

如下是一个最常见的 login 示例程序，其中包括了二进制 login 可执行程序，该程序会动态链接 libpam.so 库，该库会读取 /etc/pam.d/login 配置文件，并根据配置文件中的内容，按照顺序生成不同栈。

然后，会根据不同的栈以及配置执行相关的动作。

配置文件

对于配置文件来说，如上所述，有两种方式，一种是全局的配置文件，也就是 /etc/pam.conf ，其内容如下，第一个表示服务的名称。

ftpd auth required pam_unix.so nullok

还有一种是将相关服务的配置保存在 /etc/pam.d/ 目录下，文件名就对应了应用名，例如 login、sshd 等。在配置文件中包含了四列，与上述的后四列相同，分别为：1) 模块类型；2) 控制模式；3) 模块名称；4) 模块参数。

配置详解

PAM 会根据配置中的模块名称从 /usr/lib64/security 目录下查找，所以通常直接使用文件名称即可；而不同的插件其参数也有所区别，所以，这里主要介绍前两个配置项。

1. 模块类型

PAM 有四种模块类型，代表不同的任务，一个类型可能有多行，按顺序依次由 PAM 模块调用：

认证管理，auth
用来对用户的身份进行识别，如提示用户输入密码、判断用户是否为 root 等。
账号管理，account
对帐号的各项属性进行检查，如是否允许登录、是否达到最大用户数、root 用户是否允许在这个终端登录等。
会话管理，session
定义用户登录前的及用户退出后所要进行的操作，如登录连接信息、用户数据的打开与关闭、挂载文件系统等。
密码管理，password
使用用户信息来更新，如修改用户密码。

如果在模块类型的开头有个短横线 - ，意味着，如果找不到这个模块导致无法加载，这一事件不会被记录在日志中，适用于哪些非必须的验证功能。

2. 控制标记

通过控制标记来处理和判断各个模块的返回值。

required
即使某个模块对用户的验证失败，也要等所有的模块都执行完毕后才返回错误信息。
requisite
如果某个模块返回失败，则立刻返回失败，不再进行同类型后面的操作。
sufficient
如果验证通过，则立即返回验证成功消息，无论前面模块是否有失败，而且也不再执行后面模块。如果验证失败，sufficient 的作用和 optional 相同。
optional
即使指定的模块验证失败，也允许用户接受应用程序提供的服务，一般返回 PAM_IGNORE 。

常用模块

pam_unix.so  auth       提示用户输入密码，并与/etc/shadow文件相比对，匹配返回0。  account    检查用户的账号信息(如是否过期)，帐号可用时返回0。  password   修改用户的密码，将用户输入的密码，作为用户的新密码更新shadow文件。pam_shells.so  account    如果用户想登录系统，那么它的shell必须是在/etc/shells中。pam_cracklib.so  password   提示用户输入密码，并与系统中的字典进行比对，检查密码的强度。pam_securetty.so  auth       用户要以root登录时，则登录的tty必须在/etc/securetty中。

示例程序

如下程序从命令行接收一个用户名作为参数，然后对这个用户名进行 auth 和 account 验证。

#include #include #include #include int main(int argc, char *argv[]){    pam_handle_t *pamh=NULL;    int retval;    const char *user="nobody";    struct pam_conv conv = { misc_conv, NULL };    if(argc == 2)        user = argv[1];    if(argc > 2) {        fprintf(stderr, "Usage: %s [username]", argv[1]);        exit(EXIT_FAILURE);    }    printf("user: %s",user);    retval = 0;    retval = pam_start("pamtest", user, &conv, &pamh);    if (retval == PAM_SUCCESS) {        retval = pam_authenticate(pamh, 0); // 进行auth类型认证    } else { // 认证出错，则输出错误信息        printf("pam_authenticate(): %d", retval);        printf("%s", pam_strerror(pamh, retval));    }    if (retval == PAM_SUCCESS) {        retval = pam_acct_mgmt(pamh, 0);    // 进行account类型认证    } else {        printf("pam_acct_mgmt() : %d", retval);        printf("%s", pam_strerror( pamh, retval));    }    if (retval == PAM_SUCCESS) {        fprintf(stdout, "Authenticated");    } else {        fprintf(stdout, "Not Authenticated");    }    if (pam_end(pamh,retval) != PAM_SUCCESS) {     /* close Linux-PAM */        pamh = NULL;        fprintf(stderr, "pamtest0: failed to release authenticator");        exit(EXIT_FAILURE);    }    return ( retval == PAM_SUCCESS ? 0:1 );       /* indicate success */}

添加如下的配置文件，并同时通过如下命令编译执行。

# cat << EOF > /etc/pam.d/pamtest# 提示用户输入密码auth     required   pam_unix.so# 验证用户账号是否可用account  required   pam_unix.so# 向系统日志输出一条信息account  required   pam_warn.soEOF$ gcc -o pamtest pamtest.c -lpam -lpam_misc -Wall

参考

官方的相关文档 www.linux-pam.org 、 The Linux-PAM System Administrators’ Guide 、 The Linux-PAM Application Developers’ Guide 、 The Linux-PAM Module Writers’ Guide 。