PAM - 可插拔认证模块
1、为什么要使用PAM
为了让用户更合理地使用系统,应用程序或服务(如sshd、login、su、password、ftp等)不可避免地需要对用户进行安全认证,若按照各自的规则去配置非常耗费时间和精力且不能重用。
而PAM提供了统一的API,使应用程序的访问控制变得简单方便。
2、介绍
官方地址:http://www.linux-pam.org/
2.1 流程说明
当某个应用程序或服务需要使用PAM来进行认证时,只要它支持PAM,就可以通过修改其相应的PAM配置文件,加放所需要的认证方式。当重新访问时,PAM就会读取相应的配置文件来提供认证功能。
2.2 PAM配置文件
PAM配置文件可能是/etc/pam.conf,或者是 /etc/pam.d/目录下对应服务名称的文件(本文以此形式进行介绍)。
PAM配置文件是由一系列规则组成,一个规则对应一行。
(1)规则语法
service type control module-path module-arguments
(2)字段说明
service (服务名称)
注:在/etc/pam.d/目录下的配置文件,是不包含service部分的,而文件的名字就是service,且文件名必须是小写。
type(account/auth/password/session)
- account
帐户管理,它主要用来限制/允许用户对某个服务的访问时间、当前可用的系统资源(用户的最大数量)或者用户的位置访问服务(例如:root用户只能从控制台登录) - auth
识别用户身份,比如:提示用户输入密码 - password
升级用户的认证标记,比如:密码强度性检测 - session
处理为用户提供服务之前/后需要做的一些事情,比如:记录登录连接信息,挂载目录等
control(required/requisite/sufficient/optional/include/substack)
- required
若当前行认证失败,认证过程仍旧继续,整个栈运行完毕之后返回认证失败;若成功,继续下一个认证。 - requisite
若当前行认证失败,则立即中止并返回认证失败;若成功,继续下一个认证。 - sufficient
若当前行认证成功,并且之前没有任何required认证失败,则立即返回认证成功;若失败,不对结果造成影响并进行下一个认证。 - optional
仅当整个栈中只有这一个认证时才有决定性作用,否则当前行的认证跟最终结果无关。 - include
将其他配置文件中的所有行包含在当前的位置并运行。 - substack
类似include,但substack所包含的行将作为一个子栈,其运行过程不会影响到母栈,子栈的运行结果将作为当前行认证的结果输出。
module-path(模块路径)
如果以“/”开头,则表示模块的全路径,否则表示相对于/lib/security/或/lib64/security/的相对路径。
[root@iZwz9catu2mrq92b07d1d0Z ~]# ls -l /lib64/security/ total -rwxr-xr-x root root Mar pam_access.so -rwxr-xr-x. root root Dec pam_cap.so -rwxr-xr-x root root Mar pam_chroot.so -rwxr-xr-x root root Mar pam_console.so -rwxr-xr-x root root Mar pam_cracklib.so -rwxr-xr-x root root Mar pam_debug.so -rwxr-xr-x root root Mar pam_deny.so ...
module-arguments(模块参数)
3、可用模块
官方文档:http://www.linux-pam.org/Linux-PAM-html/sag-module-reference.html
pam_access - 日志监控风格的访问控制
pam_access.so [ debug ] [ nodefgroup ] [ noaudit ] [ accessfile=file ] [ fieldsep=sep ] [ listsep=sep ]
(1)使用介绍
当用户要访问应用程序时,accessfile(默认是/etc/security/access.conf)就会被扫描来检测用户是否具有访问权限并返回结果。
accessfile中的每一行都包括三个域,以冒号隔开,如下所示:
permission:users/groups:origins
- 第一个域,permission,值为+或-,+表示允许访问,-表示拒绝访问;
- 第二个域,users/groups,列出一个或多个用户名/组名,或者直接使用ALL(代表所有用户和组)。为了区分用户名和组名,组名应加上括号,例如:(group);
- 第三个域,origins,列出一种或多种登录方式,如:tty名称(tty是本地虚拟终端,比如:在阿里云CentOS实例的远程连接中可以切换到不同的虚拟终端,CTRL+ALT+F1代表切换到tty1,CTRL+ALT+F2代表切换到tty2,如此类推),IP地址,ALL(代表所有登录方式)等
(2)参数说明
- debug
大量的调试信息会被syslog记录下来 - nodefgroup
只有写在括号内的名称才会去匹配组文件,例如:(wheel),若没有设置该参数,则先匹配用户文件再匹配组文件 - noaudit
当有用户从未被允许的主机或终端登录时,事件不会被报告 - accessfile=/path/to/access.conf
设置配置文件路径,主要用于不同的服务对应不同的配置 - fieldsep=separators
配置文件的域分隔符,默认的域分隔符是英文冒号,如果fieldsep=|,那么|将作为域分隔符,而英文冒号则被看作普通字符 - listsep=separators
每个域都是一个列表,该选项改变配置文件的列表分隔符,默认的列表分隔符是空格,如果listsep=,,那么逗号将作为列表分隔符,而空格则被看作普通字符,这可能用于用户名或组名含有空格的情况,但必须要注意的是此时字段值与分隔符之间也不能存在空格!
(3)应用场景
例1:限制用户的SSH登录
[root@iZwz9catu2mrq92b07d1d0Z ~]# cp /etc/pam.d/sshd /etc/pam.d/sshd_backup //修改SSH对应的PAM配置文件,新增pam_access模块认证 [root@iZwz9catu2mrq92b07d1d0Z ~]# vi /etc/pam.d/sshd #%PAM-1.0 account requisite pam_access.so nodefgroup accessfile=/etc/mypam/access_ssh.conf fieldsep=| listsep=, [root@iZwz9catu2mrq92b07d1d0Z ~]# mkdir /etc/mypam //编辑accessfile(注:匹配的顺序从第一行开始) [root@iZwz9catu2mrq92b07d1d0Z ~]# vi /etc/mypam/access_ssh.conf #允许root和组mygroup1的成员登录 +|root (mygroup1)|ALL #拒绝root和组mygroup1的成员以外的用户登录 -|ALL EXCEPT root (mygroup1)|ALL #拒绝指定用户从非指定的ip进行登录 -|cjh|ALL EXCEPT 120.231.146.242
pam_nologin - 防止非root用户登录
http://www.linux-pam.org/Linux-PAM-html/sag-pam_nologin.html
pam_tally2 - 登录计数器
http://www.linux-pam.org/Linux-PAM-html/sag-pam_tally2.html
PAM - 可插拔认证模块的更多相关文章
- 【Linux】常用的Linux可插拔认证模块(PAM)应用举例:pam_limits.so、pam_rootok.so和pam_userdb.so模块
常用的Linux可插拔认证模块(PAM)应用举例:pam_limits.so.pam_rootok.so和pam_userdb.so模块 pam_limits.so模块: pam_limits.so模 ...
- Linux可插拔认证模块(PAM)的配置文件、工作原理与流程
PAM的配置文件: 我们注意到,配置文件也放在了在应用接口层中,他与PAM API配合使用,从而达到了在应用中灵活插入所需鉴别模块的目的.他的作用主要是为应用选定具体的鉴别模块,模块间的组合以及规定模 ...
- Linux操作系统 可插拔认证模块PAM(3)
六.Linux 操作系统安全登陆设计 自己编写PAM 模块并编译成动态链接库so 文件,将其添加进/etc/pam.d/login 文件中实现命令行安全登陆设计,将其添加进/etc/pam.d/lig ...
- 常用的Linux可插拔认证模块(PAM)应用举例(一)
pam_access.so模块 pam_access.so模块主要的功能和作用是根据主机名(包括普通主机名或者FQDN).IP地址和用户实现全面的访问控制.pam_access.so模块的具体工作行为 ...
- [read -p应用]插拔光模块去检查port present状态
#!/bin/bash path="/sys/devices/platform/soc/fd880000.i2c-pld/i2c-0/i2c-4/i2c-15/15-0060" a ...
- Prism学习--实现可插拔的模块
首先,在使用Prism框架加载的程序集中分别添加一个类,并让这些类实现IModule接口.当Prism框架加载某个程序集后,将首先在程序集中搜索实现了该接口的类.之后将会调用该接口的Initializ ...
- Django中间件-跨站请求伪造-django请求生命周期-Auth模块-seettings实现可插拔配置(设计思想)
Django中间件 一.什么是中间件 django中间件就是类似于django的保安;请求来的时候需要先经过中间件,才能到达django后端(url,views,models,templates), ...
- Oracle12c中多宿主容器数据库(CDBs)和可插拔数据库(PDBs)新特性之运行脚本
对开发者和DBA们来说,对shell脚本批量任务的影响成了多宿主选项带来的最大改变之一.因为多宿主环境通过服务来连接到可插拔数据库,因此,依靠CRON和OS认证成了换成多宿主环境后的一个最大问题.本文 ...
- Django基础八之认证模块---auth
Django基础八之认证模块---auth 目录 Django基础八之认证模块---auth 1. auth介绍 2. autho常用操作 2.1 创建用户 2.2 验证用户 2.3 验证用户是否登录 ...
随机推荐
- Django Cookie 和 Sessions 应用
在Django里面,使用Cookie和Session看起来好像是一样的,使用的方式都是request.COOKIES[XXX]和request.session[XXX],其中XXX是您想要取得的东西的 ...
- Babel运行原理
前言 之前翻博客园的时候,看到有人朋友分享阿里巴巴的面试题,其中有一道题就是关于ES6转ES5 原理的,当时我看到感觉到自己离去阿里巴巴的路还很远啊,像我们大部分做开发的时候,都只知其然不知 ...
- ASP.NET Web API 2中的错误处理
前几天在webapi项目中遇到一个问题:Controller构造函数中抛出异常时全局过滤器捕获不到,于是网搜一把写下这篇博客作为总结. HttpResponseException 通常在WebAPI的 ...
- python第二课
本节内容 1.列表list.切片 2.字典dict
- Akka(33): Http:Marshalling,to Json
Akka-http是一项系统集成工具.这主要依赖系统之间的数据交换功能.因为程序内数据表达形式与网上传输的数据格式是不相同的,所以需要对程序高级结构化的数据进行转换(marshalling or se ...
- 进程,线程,GIL,Python多线程,生产者消费者模型都是什么鬼
1. 操作系统基本知识,进程,线程 CPU是计算机的核心,承担了所有的计算任务: 操作系统是计算机的管理者,它负责任务的调度.资源的分配和管理,统领整个计算机硬件:那么操作系统是如何进行任务调度的呢? ...
- 改变 font Awesome、Ionic 图标属性
可使用 -webkit-text-stroke属性. 例如: -webkit-text-stroke:1px red 使用color属性,可改变 图标颜色: 例如: color: red: 使用fon ...
- 二、Tomcat配置以及IDEA运行第一个Jsp项目——JavaWeb点滴
一.Tomcat配置环境变量 tomcat从官网下载最新的即可,本人下载的是安装版本.在安装过程中需要设置用户名和密码以及选择相应的JDK的安装目录.这些都比较简单直接下一步即可,安装完成之后就是配置 ...
- 版本控制之四:SVN客户端重新设置帐号和密码(转)
在第一次使用TortoiseSVN从服务器CheckOut的时候,会要求输入用户名和密码,这时输入框下面有个选项是保存认证信息,如果选了这个选项,那么以后就不用每次都输入一遍用户名密码了. 不过,如果 ...
- 最长公共子序列Lcs(打印路径)
给出两个字符串A B,求A与B的最长公共子序列(子序列不要求是连续的). 比如两个串为: abcicba abdkscab ab是两个串的子序列,abc也是,abca也是,其中abca是这 ...