Linux-PAM认证
在新主机更改用户密码的时候,经常会出现"passwd: Have exhausted maximum number of retries for service"的报错
[root@10-112-41-157 ~]# echo 'co4lgTdDD3iK7WYEJAyL0KT5pLXS0o3r' | passwd --stdin testpam
Changing password for user testpam.
passwd: Have exhausted maximum number of retries for service
实际之上,可以使用chpasswd
命令更改解决,但非明文更改密码无法实现
1.PAM机制
在centos 6中用户的密码权限更变模块主要涉及到PAM(Pluggable Authentication Modules)认证机制,该机制由Sun公司提供,在Linux中,PAM是可动态配置的,本地系统管理员可以自由选择应用程序如何对用户进行身份验证。PAM应用在许多程序与服务上,比如登录程序(login、su)的PAM身份验证(口令认证、限制登录),passwd强制密码,用户进程实时管理,向用户分配系统资源等
点击我:>>centos官方文档说明
2.centos pam配置文件的构成
pam主要由动态库与配置文件构成。/etc/pam.d/
目录中定义了各种程序和服务的PAM配置文件,如其中system-auth
文件是PAM模块的重要配置文件,它主要负责用户登录系统的身份认证工作,不仅如此,其他的应用程序或服务可以通过include接口来调用它(该文件是system-auth-ac
的软链接)。此外password-auth
配置文件也是与身份验证相关的重要配置文件,比如用户的远程登录验证(SSH登录)就通过它调用。而模块文件则主要存放于/lib64/security/
中
1.配置文件
[root@10-110-122-196 ~]# ll /etc/pam.d/
total 148
-rw-r--r--. 1 root root 272 Oct 18 2014 atd
-rw-r--r--. 1 root root 192 Oct 15 2014 chfn
-rw-r--r--. 1 root root 192 Oct 15 2014 chsh
-rw-r--r-- 1 root root 232 Aug 18 2015 config-util
-rw-r--r--. 1 root root 293 Nov 23 2013 crond
-rw-r--r--. 1 root root 71 Nov 22 2013 cvs
-rw-r--r--. 1 root root 115 Nov 11 2010 eject
lrwxrwxrwx. 1 root root 19 Jan 14 2016 fingerprint-auth -> fingerprint-auth-ac
-rw-r--r--. 1 root root 659 Jan 14 2016 fingerprint-auth-ac
略
2.依赖的模块
[root@10-110-122-196 ~]# ll /lib64/security/
total 808
-rwxr-xr-x 1 root root 18552 Aug 18 2015 pam_access.so
-rwxr-xr-x. 1 root root 7504 Dec 8 2011 pam_cap.so
-rwxr-xr-x 1 root root 10272 Aug 18 2015 pam_chroot.so
-rwxr-xr-x. 1 root root 9216 Nov 11 2010 pam_ck_connector.so
-rwxr-xr-x 1 root root 27080 Aug 18 2015 pam_console.so
-rwxr-xr-x 1 root root 14432 Aug 18 2015 pam_cracklib.so
-rwxr-xr-x 1 root root 10168 Aug 18 2015 pam_debug.so
以下略
3.判断是否使用pam认证
判断一个程序是否使用了pam认证,可以查看其是否有使用pam模块即可
[root@10-110-122-196 pam.d]# ldd /usr/sbin/sshd | grep pam
libpam.so.0 => /lib64/libpam.so.0 (0x00007f3460605000)
[root@10-110-122-196 pam.d]# ldd /usr/bin/passwd | grep pam
libpam_misc.so.0 => /lib64/libpam_misc.so.0 (0x00007fe943edb000)
libpam.so.0 => /lib64/libpam.so.0 (0x00007fe9434f6000)
以上说明sshd和passwd都有使用pam认证
3.pam配置文件的格式语法
<module interface> <control flag> <module name> <module arguments>
详细查看一台主机中的system-auth-ac
配置文件
[root@10-110-122-196 pam.d]# cat system-auth-ac
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_fprintd.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
password requisite pam_cracklib.so retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
1.模块接口:
参数 | 作用 |
---|---|
auth | 认证模块接口,如验证用户身份、检查密码是否可以通过,并设置用户凭据 |
account | 账户模块接口,检查指定账户是否满足当前验证条件,检查账户是否到期等 |
password | 密码模块接口,用于更改用户密码,以及强制使用强密码配置 |
session | 会话模块接口,用于管理和配置用户会话。会话在用户成功认证之后启动生效 |
2.控制标识:
参数 | 作用 |
---|---|
required | 模块结果必须成功才能继续认证,如果在此处测试失败,则继续测试引用在该模块接口的下一个模块,直到所有的模块测试完成,才将结果通知给用户。 |
requisite | 模块结果必须成功才能继续认证,如果在此处测试失败,则会立即将失败结果通知给用户。 |
sufficient | 模块结果如果测试失败,将被忽略。如果sufficient模块测试成功,并且之前的required模块没有发生故障,PAM会向应用程序返回通过的结果,不会再调用堆栈中其他模块。 |
optional | 该模块返回的通过/失败结果被忽略。当没有其他模块被引用时,标记为optional模块并且成功验证时该模块才是必须的。该模块被调用来执行一些操作,并不影响模块堆栈的结果。 |
include | include与模块结果的处理方式无关。该标志用于直接引用其他PAM模块的配置参数 |
3.模块参数
这里面主要讲pam_cracklib.so
的相关参数,因为用户密码修改主要与此模块相关
参数 | 作用 |
---|---|
authtok_type=xxx | 用户密码修改的提示语,默认为空 |
retry=N | 密码尝试错误N次禁止登录,默认为1 |
difok=N | 新旧密码不得有N个字符重复,默认为5 |
difignore=N | 字符数达到N个后,忽略difok,默认为23 |
minlen=N | 密码长度不得少于N位 |
dcredit=N | 至少包含N个数字 |
ucredit=N | 至少包含N个大写字母 |
lcredit=N | 至少包含N个小写字母 |
ocredit=N | 至少包含N个特殊字母 |
minclass=N | 至少包含N种字符类型 |
maxrepeat=N | 不能包含N个连续的字符 |
reject_username | 不能包含用户名 |
use_authtok | 强制使用之前的密码,即不允许用户修改密码 |
dictpath=/path/to/dict | 指定cracklib模块的路径 |
注意,以上参数仅对非root用户生效,如果想对root用户生效,需要加入参数enforce_for_root
,所以回到文章最初提出的那个异常,root用户因为也被强制生效了,所以无法更改用户密码,去掉该选项即可
4.passwd与chpasswd的区别
因为passwd不能更改密码的时候,可以直接使用chpasswd进行更改
[root@10-110-122-196 pam.d]# ldd /usr/sbin/chpasswd | grep pam
[root@10-110-122-196 pam.d]# ldd /usr/bin/passwd | grep pam
libpam_misc.so.0 => /lib64/libpam_misc.so.0 (0x00007f64dd087000)
libpam.so.0 => /lib64/libpam.so.0 (0x00007f64dc6a2000)
从以上可以看得,chpasswd
并未使用pam认证机制,所以在passwd不能修改密码的时候,可以进行密码的修改。
从man中查看两者的区别
NAME
passwd - update user’s authentication tokens
SYNOPSIS
passwd [-k] [-l] [-u [-f]] [-d] [-e] [-n mindays] [-x maxdays] [-w warndays] [-i inactivedays] [-S] [--stdin] [username]
DESCRIPTION
The passwd utility is used to update user’s authentication token(s).
This task is achieved through calls to the Linux-PAM and Libuser API. Essentially, it initializes itself as a "passwd" service with Linux-PAM and utilizes configured password modules to authenticate and then update a user’s password.
NAME
chpasswd - update passwords in batch mode
SYNOPSIS
chpasswd [options]
DESCRIPTION
The chpasswd command reads a list of user name and password pairs from standard input and uses this information to update a group of existing users. Each line is of the format:
user_name:password
By default the supplied password must be in clear-text, and is encrypted by chpasswd. Also the password age will be updated, if present.
The default encryption algorithm can be defined for the system with the ENCRYPT_METHOD variable of /etc/login.defs, and can be overwiten with the -e, -m, or -c options.
chpasswd first update the password in memory, and then commit all the changes to disk if no errors occured for any users.
This command is intended to be used in a large system environment where many accounts are created at a single time.
很显然可以查看得到passwd
需要调用linux-PAM,然后调用密码模块,最后更新用户密码。而chpasswd
是直接更新用户密码
而chpasswd
使用的加密算法可以通过选项进行控制,默认是使用SHA-512
算法
从/etc/shadow
文件中可以看到用户加密码后的密码
[root@10-110-122-196 pam.d]# cat /etc/shadow
root:$6$hFXXRDb0$jQsZU9Lo8.HeYt4.kGr4QD8eUypaBr6EV403dN1LWBTXChNNXad0sHWl/55T7PiKUwdYoiAyeDt1.xqqf2Pt61:17477:0:99999:7:::
其中第二行中的6,代替加密算法为SHA-512
,从系统库文件为GLIBC_2.7
起,默认加密算法均为 SHA-512
,查看系统库glibc版本方法:
[root@10-110-122-196 pam.d]# strings /lib64/libc.so.6 | grep GLIBC
GLIBC_2.2.5
GLIBC_2.2.6
GLIBC_2.3
GLIBC_2.3.2
GLIBC_2.3.3
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.5
GLIBC_2.6
GLIBC_2.7
GLIBC_2.8
GLIBC_2.9
GLIBC_2.10
GLIBC_2.11
GLIBC_2.12
GLIBC_PRIVATE
centos6
系统以上即为2.12版本
Linux-PAM认证的更多相关文章
- Linux PAM&&PAM后门
Linux PAM&&PAM后门 我是壮丁 · 2014/03/24 11:08 0x00 PAM简介 PAM (Pluggable Authentication Modules )是 ...
- centos6.5下vsftpd服务的安装及配置并通过pam认证实现虚拟用户文件共享
FTP的全称是File Transfer Protocol(文件传输协议),就是专门用来传输文件的协议.它工作在OSI模型的第七层,即是应用层,使用TCP传输而不是UDP.这样FTP客户端和服务器建立 ...
- PAM认证机制详情
PAM(Pluggable Authentication Modules)认证机制详情 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.介绍PAM PAM(Plugga ...
- 什么是PAM认证
PAM(Pluggable Authentication Modules )是由 Sun 提出的一种用于实现应用程序的认证机制.其核心是一套共享库,目的是提供一个框架和一套编程接口,将认证工作由程序员 ...
- Linux Pam后门总结拓展
首发先知社区: https://xz.aliyun.com/t/7902 前言 渐渐发现pam后门在实战中存在种植繁琐.隐蔽性不强等缺点,这里记录下学习pam后门相关知识和pam后门的拓展改进. 0x ...
- PAM认证
PAM认证 摘自: http://www.cnblogs.com/shenxm/p/8451889.html PAM(Pluggable Authentication Modules) Sun公司于1 ...
- AIDE,sudo,TCP_Wrappers,PAM认证等系统安全访问机制
AIDE 高级入侵检测环境:是一个入侵检测工具,主要用途是检查文件的完整性,审计计算机上的那些文件被更改过了. AIDE能够构造一个指定文件的数据库,它使用aide.conf作为其配置文件.AIDE数 ...
- PAM认证机制
PAM:Pluggable Authentication Modules 认证库:文本文件,MySQL,NIS,LDAP等 Sun公司于1995 年开发的一种与认证相关的通用框架机制 PAM 是关注如 ...
- Vsftpd: 基于PAM认证的虚拟用户和匿名用户
目录 环境说明效果说明及截图①. 安装组件②. 系统账户建立③. 编辑vsftpd的配置文件④. 生成虚拟用户的数据库文件⑤. 生成一个使用vsftpd_login.db数据文件的PAM认证文件⑥. ...
- linux的PAM认证和shadow文件中密码的加密方式
它是一种统一的认证方案.PAM 让您能随时改变您的认证方法以及需求,并且不需要重新编译任何代码就封装了所有本地认证方法.具体见 PAM 网站. 对于 PAM 您只需要做: 对您的密码采用不同于 DES ...
随机推荐
- Python中使用"subplot"在一张画布上显示多张图
subplot(arg1, arg2, arg3) arg1: 在垂直方向同时画几张图 arg2: 在水平方向同时画几张图 arg3: 当前命令修改的是第几张图 t = np.arange(0,5,0 ...
- React笔记02——React中的组件
一个网页可以被拆分成若干小部分,每个部分都可以称为组件,即组件是网页中的一部分.组件中还可以有多个组件. 上一节中的App.js就是一个组件(继承了React.Component类的类). 一个组件的 ...
- 看图了解RocksDB
它是一个高性能的Key-Value数据库.设计了完善的持久化机制,同时保证性能和安全性.能够良好的支持范围查询,因为K-V记录就是按照Key来排序的. 下图为写入的流程: 可以看到主要的三个组成部 ...
- php ucwords()函数 语法
php ucwords()函数 语法 作用:把每个单词的首字符转换为大写 语法:ucwords(string) 参数: 参数 描述 string 必须,规定要转换的字符串 说明:把字符串中每个单词的首 ...
- 【bzoj1185】[HNOI2007]最小矩形覆盖 (旋转卡壳)
给你一些点,让你用最小的矩形覆盖这些点 首先有一个结论,矩形的一条边一定在凸包上!!! 枚举凸包上的边 用旋转卡壳在凸包上找矩形另外三点... 注意精度问题 #include<cstdio> ...
- git分支回退以及目录回退
分支回退 git checkout - 目录回退 cd -
- error C2065: ‘_bstr_t’ : undeclared identifier
转自VC错误:http://www.vcerror.com/?p=828 问题描述: error C2065: '_bstr_t' : undeclared identifier 解决方法: 详细的解 ...
- 建站手册-浏览器信息:挪威的 Opera 浏览器
ylbtech-建站手册-浏览器信息:挪威的 Opera 浏览器 1.返回顶部 1. http://www.w3school.com.cn/browsers/browsers_opera.asp 2. ...
- jenkins插件set build description使用规则
配置前要注意的点: 先安装插件:set build description 安装该插件后,在[Post-build Actions]栏目中会多出description setter功能,可以实现构建完 ...
- Day 56 jquery
一 .事件委托实例 <!DOCTYPE html> <html lang="zh-CN"> <head> <meta charset=&q ...