一起写PAM(4)

最新推荐文章于 2024-04-28 16:55:01 发布
最新推荐文章于 2024-04-28 16:55:01 发布
阅读量3.9k 收藏 5
点赞数
分类专栏: Linux 文章标签: struct buffer module function user login
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyyyangyang/article/details/6606733
版权
 

有了前面的知识,今天将和大家一起写一个简单的PAM模块

好了废话不说了直接写吧(文件为 pam_test.c)

#define PAM_SM_AUTH
#include <security/pam_modules.h>
#include <security/pam_appl.h>
#include <stdio.h>
#include <string.h>
#include <stdarg.h>

#define MODULE_NAME "pam_sample"
#define SAMPLE_PROMPT "Extra Password for root:"
#define PAM_DEBUG_ARG      1

#define DPRINT if (ctrl & PAM_DEBUG_ARG) sample_syslog

#define PAM_RET_CHECK(ret) if(PAM_SUCCESS != ret) \
						   {					 	\
								return ret;			\
						   }



//if debug is setting this function can write log information /var/log/message
static void sample_syslog(int err, const char *format, ...)
{
    va_list args;
    char buffer[1024];

    va_start(args, format);
    vsprintf(buffer, format, args);
    /* don't do openlog or closelog, but put our name in to be friendly */
    syslog(err, "%s: %s", MODULE_NAME, buffer);
    va_end(args);
}

//get the paramters
static int sample_parse(int argc, const char **argv, char *szconf)
{
  int ctrl=0;
  
  /*
   *  If either is not there, then we can't parse anything.
   */
  if ((argc == 0) || (argv == NULL)) {
    return ctrl;
  }
  
  /* step through arguments */
  for (ctrl=0; argc-- > 0; ++argv) 
  {
    
    /* generic options */
    if (!strcmp(*argv, "debug")) 
    {
      ctrl |= PAM_DEBUG_ARG;
    }
    else 
    {
     sample_syslog(LOG_WARNING, "unrecognized option '%s'", *argv);
    }
  }
  return ctrl;
}

//callback function to release a buffer
void sample_pam_free(pam_handle_t *pamh, void *pbuf, int error_status)
{
	free(pbuf);
}
//conversation function
//这个是做了封装的对话函数,每次只允许你向应用程序请求一个"问题"
int sample_converse(pam_handle_t *pamh, int msg_style, char *message, char **password)
{
	const struct pam_conv *conv;
	
	struct pam_message resp_message;
	const struct pam_message *msg[1];
	struct pam_response *resp = NULL;
	
	int retval;

	resp_message.msg_style = msg_style;
	resp_message.msg = message;
	msg[0] = &resp_message;
	//之前老提到对话函数,我们说过对话函数由应用程序提供,这里可以看到在模块中怎么获得对话函数
//通过pam_get_item 可以获得pam_conv这个结构的一个指针(第二个参数是PAM_CONV表示类型)
//然后就想下面的调用方式,你可以在你的模块中调用这个对话函数,和应用程序交互
	retval = pam_get_item(pamh, PAM_CONV, (const void **)&conv);
	PAM_RET_CHECK(retval)
        
	retval = conv->conv(1, msg, &resp, conv->appdata_ptr);
	PAM_RET_CHECK(retval)
	if(password)
	{
		*password = resp->resp;
		free(resp);
	}
	
	return PAM_SUCCESS;
} 


#ifdef PAM_SM_AUTH
PAM_EXTERN int pam_sm_authenticate(pam_handle_t *pamh, int flags, int argc, const char **argv)
{
	char *puser, *ppwd;
	int nret;
	int nloop;
	int nChallenge;
	int nValidrsp;
	char szbuf[256];
	char szconf[256];
	char *resp2challenge = NULL;

	int ctrl = 0;
	memset(szconf, 0, 256);
//通过这个函数获得用户名
	nret = pam_get_user(pamh, &puser, "UserName:");
	if(PAM_SUCCESS != nret)
	{
		int *pret = (int *)malloc(sizeof(int));
		//makelog("get username failed");
		DPRINT(LOG_DEBUG, "Get user name failed");
		*pret = nret;
		pam_set_data(pamh, "sample_setcred_return", (void *)pret, sample_pam_free);
		return PAM_SYSTEM_ERR;
	}
	else
	{
		//username
//如果用户名为root,请用户输入附加密码 "123456"
		if(!strcasecmp("root", puser))
{
//如果为root 和应用程序交互,让用户输入密码
//如果为root 和应用程序交互,让用户输入密码
nret = sample_converse(pamh, PAM_PROMPT_ECHO_OFF, SAMPLE_PROMPT, &ppwd);
if(PAM_SUCCESS != nret)
{
    int *pret = (int *)malloc(sizeof(int));
     *pret = nret;
     DPRINT(LOG_DEBUG, "Get extra password failed");
     pam_set_data(pamh, "sample_setcred_return", (void *)pret, sample_pam_free);
      return nret;
}
//you have get the extra password
if(strcasecmp("123456", ppwd))
{
    int *pret = (int *)malloc(sizeof(int));                          *pret = PAM_AUTH_ERR;                          DPRINT(LOG_DEBUG, "Invalid extra password");                          pam_set_data(pamh, "sample_setcred_return", (void *)pret, sample_pam_free);                          return PAM_AUTH_ERR;
}
}
}
	return PAM_SUCCESS;
}

PAM_EXTERN int pam_sm_setcred(pam_handle_t *pamh, int flags, int argc, const char **argv)
{
	int nret = PAM_SUCCESS, *pret;
	pret = &nret;
	pam_get_data(pamh, "sample_setcred_return", (void **)&pret);
	return *pret;
}

#endif//PAM_SM_AUTH


 

编译 gcc -o pam_test.so -shared -fPIC ./pam_test.c -lpam

将pam_test.so 拷贝到/lib/security/下(平台不同有差异)

配置 vim /etc/pam.d/login (如果想为login使用这个模块) 

在你希望的位置添加 auth sufficient pam_test.so

sufficient 还可以为 required 等具体请参照http://www.ibm.com/developerworks/cn/linux/l-pam/index.html?ca=drs-#resources

至此一个简单的PAM模块就写好了

 

Linux PAM开发示例二:登录系统时使用自己的PAM模块进行密码认证
ljq32的专栏
07-31 3013
本文仅仅是一个示例,没有多余的说教内容,实现在登录Linux时命令行、图形界面、su等密码认证时使用自己的PAM模块进行密码认证,这个示例不需要编应用程序,因为系统的登录程序就是应用程序,例如:login、su、lightdm。 1。编PAM模块动态库 #include <stdio.h> #include <stdlib.h> #include <string.h> #include <security/pam_appl.h> #include &
linux pam使用手册,Linux-PAM系统管理指南(一)
weixin_32924669的博客
05-14 1343
当前位置:我的异常网» Linux/Unix»Linux-PAM系统管理指南(一)Linux-PAM系统管理指南(一)www.myexceptions.net网友分享于:2015-08-26浏览:1次Linux-PAM系统管理指南(1)摘要:Linux-PAM是一组共享库,使用这些模块,系统管理者可以自由选择应用程序使用的验证机制。也就是说,勿需重新编译应用程序就可以切换应用程序使用的...
一起PAM(二)
Sunwind的专栏
07-07 2115
上一篇转贴了一些关于PAM结构的一些内容,关于应用程序如何调用PAM 的API实现身份认证和会话操作的内容不是这篇内容所关心的,就不在赘述.对话函数作为应用程序和PAM 模块信息交互的"中介",其作用非常的重要.因此下面准备小谈一下对话函数.我本人也是新手,自己一个对话函数肯定
PAM(4)
Micheal
03-22 1051
有了前面的知识,今天将和大家一起一个简单的PAM模块 好了废话不说了直接吧(文件为 pam_test.c) [cpp] view plain copy #define PAM_SM_AUTH   #include    #include    #include    #include    #include       #defi
基于PAM自定义ssh登陆认证
李老板的移动安全杂货铺
12-02 770
/ 替换为约定的口令。注意:这只是一个简单的示例代码,实际项目中请根据需求进行适当的修改和完善。// 提示用户输入约定的口令。// 获取对话函数指针。// 验证约定的口令。
Linux操作系统安全登录实现_usb认证安全加固
PuJiang-的博客
08-24 2090
一、实验目的 本实验在linux系统中使用usb进行身份验证。采用双重登陆方法即输入正确的登陆密码同时还需要插入正确的usb设备才能通过身份认证,以此来实现linux系统登录过程中的安全加固。 二、实验环境 1、系统环境 虚拟机版本:VMware Workstation 16 Pro 16.0.0 Linux版本:2.6.32-131.0.15.el6.x86_64 gcc版本:4.4.4 20100726 (Red Hat 4.4.4-13) (GCC) 发行版本:CentOS 6.1 2、插件及依赖包
PAM从入门到精通(二十四)
phmatthaus的专栏
10-25 162
PAM从入门到精通(二十四)
Linux 之旅 12:PAM模块和用户通讯
梦幻天空
08-22 900
Linux 之旅 12:PAM模块和用户通讯 实际上本篇的内容与上篇Linux 之旅 11:Linux 账号管理与 ACL 权限设置是前后关联的,因为篇幅原因拆分成了两篇发布。 使用者的特殊shell与PAM模块 /sbin/nologin 像之前说的,在账户设置中使用/sbin/nologin作为登录用shell的账号将不能登录。特别的,如果需要给这些用户在不能登录时显式特定的内容,可以将内容入/etc/nologin.txt: [root@xyz ~]# usermod -s '/sbin/no
pam密码策略
diaoyu8833的博客
07-17 1537
PAM 的使用历史 PAM 是关注如何为服务验证用户的 API。在使用 PAM 之前,诸如login(和rlogin、telnet、rsh)之类的应用程序在/etc/passwd中查找用户名,然后将两者相比较并验证用户输入的名称。所有应用程序使用了这些共享服务,但是并未共享实现细节和配置这些服务的权限。 接下来,应用程序开发人员尝试编自定义过程代码。在此过程中,需要分离应用...
SAM PAM 算法模板
Joker's blog
06-17 2082
回文自动机 后缀自动机 板子以及背板技巧qwq
Linux——账号安全、su切换用户、PAM认证模块、sudo提权、开关机安全控制
weixin_51613313的博客
12-03 1020
系统安全与运行一、账号安全1.1 系统账号清理1.1.1 禁止账号登录系统1.1.2 锁定长期不使用的账号1.1.3 删除无用的账号1.1.4 锁定账号文件1.1.5 清除用户的密码1.2 密码安全控制1.2.1 修改用户账号密码有效期1.2.2 设定用户账号失效期 一、账号安全 1.1 系统账号清理 1.1.1 禁止账号登录系统 将非登录用户的Shell设为/sbin/nologin usermod -s /sbin/nologin 用户名 示例:禁止“lisi”用户登录 1.1.2 锁定长期不使用
linux基于pam的多因子登录实现
最新发布
muyuanbiao888的博客
04-28 307
​ 可以看到密码框中提示了PIN。PIN密码是:123 输入后才会提示passwd输入正常的用户密码。注意加在第一行,要在pam_unix.so验证之前。否则目前 看没有输入PIN的时机。login命令:如下。
Linux-PAM
热门推荐
Skycrab
02-24 1万+
PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制。它通过提供一些 动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理 员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于 向系 统中添加新的认证手段。 PAM最初是集成在Solaris中,目前已移植到其它系统中,如Linux
PAM从入门到精通(二)
phmatthaus的专栏
10-16 672
PAM从入门到精通(二)
PAM从入门到精通(八)
phmatthaus的专栏
10-19 197
PAM从入门到精通(八)
PAM从入门到精通(二十二)
phmatthaus的专栏
10-24 117
PAM从入门到精通(二十二)
pam介绍[转]
05-07 615
创建时间:2000-06-08 文章属性:整理 文章来源:原文BY - P H R A C K   M A G A Z I N E -56-13.html 文章提交:xundi (xundi_at_xfocus.org) 介绍PAM BY XUNDI 2000-05-08 本人水平有限,错误在所难免,尽请指教xundi@xfocus.org 原文BY - P H R A C
Linux PAM开发示例一:让自己的程序使用PAM认证方式
ljq32的专栏
07-31 3423
不对PAM模块机制做深入讲解,网上一堆文章已经把这个事儿做了,这里仅仅是PAM的实现示例以记录自己的学习过程和成果。 本文仅仅实现一个PAM示例,即一个用户程序通过PAM机制进行密码认证,编一个用户程序,编一个pam模块动态库即可完成这个功能。 一。PAM介绍 Linux-PAM(即linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用(重新编)重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制,这种方式下,就算升级本地认证机制,也不用修
PAM机制
Micheal
04-18 7067
一.PAM简介 Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式.  换句话说,不用(重新编和)重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制.  这种方式下,就算升级本地认证机制,也不用修改程序.  PAM使用配置文件/etc/pam.conf(或/etc/pam.d/下的文件),来管理对程序的认证
《跟我一起Python》:从入门到面向对象编程
"跟我一起Python" 这篇文档是一份由瑞奇编的Python入门教程,旨在提供一个通俗易懂的学习路径,适合初学者。教程涵盖了Python的基础知识,包括输入输出、基本数据类型、控制结构、函数、高级特性以及面向对象...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值