Pages

Saturday, 26 August 2017

PAM管理指南

来自:http://doc.linuxpk.com/5214.html
联系:linuxmine#gmail.com

Linux-PAM是一组共享库,使用这些模块,系统管理者可以自由选择应用程序使用的验证机制。也就是说,勿需重新编译应用程序就可以切换应用程序 使用的验证机制。甚至,不必触动应用程序就可以完全升级系统使用的验证机制。(2002-07-09 13:08:42)

1.简介
Linux-PAM(Pluggable Authentication Modules for Linux.基于Linux的插入式验证模块)是一组共享库,使用这些模块,系统管理者可以自由选择应用程序使用的验证机制。也就是说,勿需重新编译应用 程序就可以切换应用程序使用的验证机制。甚至,不必触动应用程序就可以完全升级系统使用的验证机制。
在历史上,需要对用户进行验证的 应用程序,必须同某种验证机制编译到一起。例如,传统的UN*X系统是使用密码对用户进行校验的。用户输入的密码经过crypt加密后,然后和/etc /passwd文件中的密文进行比较。在这种系统中,如果优先权的识别不是基于这种方式,就需要通过用户识别符和用户组识别符对优先权进行验证。服务和应 用程序可以使用基于用户和用户组识别的验证方式。通常,用户组的分配是通过/etc/group文件。
不幸的是,随着计算机速度的加快和网络的大范围普及,使用这种验证方式越来越不安全了。因此,人们开发了许多新的验证方法。
Linux-PAM工程的目的就是分离应用软件和验证机制的开发。通过验证函数库可以实现上述目的。PAM库由本地的系统配置文件 /etc/pam.conf或者/etc/pam.d/目录下的一些配置文件来设置。而模块以动态可加载目标文件(使用dloptn(3)函数打开)的形 式保存在/usr/lib/security目录中。
2.关于本文的一些说明
在开始阅读本文时,你应该清楚本文假定特定的文件是在特定的目录中。我们遵照RFC-86的约定。有些Linux发布把这些文件放在不同的位置,因此如果你的系统是象RedHat之类的发布,那么你应该谨慎使用本文提供的例子。
例如,本文假设PAM可加载目标文件(模块)是在/usr/lib/security/目录下,而在RedHat Linux系统中它们被放在了/lib/security目录下。因此,使用本文的例子时应该注意进行必要的转换。
3.综述
我们从一个例子开始讨论。首先找一个能够为用户提供服务的应用程序,login就是一个这样的程序。login要做两件事,首先查询用户,然后为用户提供所需服务,例如提供一个shell程序。
通常,login会提示用户输入密码。然后对密码进行校验,这项任务就是Linux-PAM完成的。
从程序员的角度看,Linux-PAM的任务就是校验用户的合法性。
Linux-PAM具有很大的灵活性,系统管理者可以通过它自由选择使用的验证方式。你也可以自由选择应用程序使用的验证方式。Linux-PAM能够提供的验证方式多种多样,从绝对信任(pam_permit)到视网膜扫描、音频分析以及一次性口令,不一而足。
为了描述Linux-PAM的灵活性,我们可以假想一种情况:一个系统管理者(父母)希望提高用户(他们的子女)的数学能力。他/她就可以通过一个孩子 们非常喜欢的游戏“Shoot ’em up game”达成上述目的,当然前提是这个游戏能够使用PAM提供的验证机制。验证可以设置:每次孩子们要玩游戏时,都需要回答出一组小于12的随机数的乘 积。这样孩子们每次玩游戏之前都可以练习乘法运算。随着他们的成长,可以增加数字的大小。
Linux-PAM处理四种类型的任务:验证管理(auth)、帐户管理(account)、会话管理(session)和口令管理(password)。应用程序使用的管理方式通过相关的Linux-PAM配置文件设置。管理功能是有配置文件指定的模块完成的。
应用程序X,它通过一些接口调用Linux-PAM库,而自己并不知道使用的验证方法。Linux-PAM库读出PAM配置文件的内容,根据配置文件加 载程序X需要的模块。这些模块进入某个管理组并且按照配置文件设置的顺序层叠在一起。它们为应用程序执行各种验证任务。应用程序和用户之间通过 conversation函数实现信息交换。
3.1 入门
下面是Seth Chaiklin说的一段话:
从这一点来看,PAM应该工作在理想世界中,在这里所有的应用程序都没有错误。然而,事实远非如此。因此,如果你要使用PAM,需要考虑一些实际的问题。
如果你把Linux用作一个单用户系统,或者系统中的用户是相互信任的,那使用PAM没有多大意思。
你可以在没有重要东西的系统上取消PAM,这实际上可以带来一些方便。使系统象Win95。
在网络环境下,就需要考虑用户验证的问题了。
如果你使用Linux作为一个服务器,用它来提供一些不同的服务,这时PAM就体现了它的价值。一般情况下,通过使用不同的模块,程序可以搜索各种密码数据库,而程序本身勿需改写。下面是一些例子:
apache有一个模块能够提供PAM服务。因此,对于特定目录的验证可以通过PAM完成,这意味着大量现有的PAM模块可以用来进行验证工作,包括RADIUS、NIS、NCP。
pppd有一个使用PAM验证的版本(来自RedHat)。
我可以把PAM由于任何需要验证的程序吗?
可以说能,也可以说不能。能,是指如果你能够修改源代码,就可以加入PAM验证功能;不能是指如果你无法修改源代码,那么在可执行文件中是无法加入PAM验证功能的
我怎样才能区分程序是否使用了PAM验证?
使用ldd命令,如果这个程序的使用的动态连接库没有libpam和libpam_misc,那它肯定不使用PAM验证。然而,还有可能已经包含这两个库了,但是因为某些问题,程序无法正常工作。因此需要更好的方法来测试。
对于需要使用PAM的程序,需要在/etc/pam.d目录中为其设置配置文件。配置文件的名字被编写进程序源代码中,通常和程序的名字是一样的,但不 总是这样。例如:有个程序叫作pamprog,它的PAM配置文件是/etc/pam.d/pamprog。在配置文件中,只有下面两行: auth required pam_permit.so
auth required pam_warn.so
现在对其进行测试。第一行,表示所有的用户都允许通过;第二行表示想syslog中写入一条警告信息。如果测试成功,就表示程序能够使用PAM进行验证。然后你可以在配置文件中加入更为复杂的验证功能。
4.Linux-PAM配置文件
Linux-PAM的目标就是为系统管理者提供最大限度的灵活性。系统管理者可以通过两种形式对Linux-PAM进行配置:单一配置文件/etc/pam.conf;或者是/etc/pam.d/目录。这一节我们将讨论其配置文件的语法。
4.1 配置文件的语法
读者首先应该明白Linux-PAM的记号是大小写敏感的。有两个特殊的符号:#和。配置文件中的注释以#开头,一般配置文件中每行是一个入口(除了注释),但是如果某个入口的定义很长,可以通过使用转义符回行,而下一行也被看作是这个入口的一部分。
一般/etc/pam.conf文件每行都是这种格式:
service-name module-type control-flag module-path arguments
下面我们将对每个记号进行解释。除了这种方式之外,还可以使用/etc/pam.d/目录对Linux-PAM进行配置,稍后我们将对这种方式进行讲述。
service-name
为这个入口分配的服务名。通常这是给定应用程序的会话名。例如:ftpd、rlogind、su等等。
Linux-PAM还为默认的验证机制保留一个特殊的服务名,就是OTHER,大小写均可。注意,如果某个模块指定了以命名的服务,那OTHER就被忽略。
modle-type
Linux-PAM当前有四种类型的模块:
auth
这种类型的模块为用户验证提供两方面的服务。
让应用程序提示用户输入密码或者其它的标记,确认用户的合法性;
通过它的凭证许可权限,设定组成员关系(不同于上面讨论的/etc/groups文件)或者其它优先权。
account
这类模块执行基于非验证的帐户管理。它主要用来限制/允许用户对某个服务的访问时间,当前有效的系统资源(最多可以有多少个用户),限制用户的位置(例如:root用户只能从控制台登录)。
session
这类模块的主要用途是处理为用户提供服务之前/后需要做的一些事情,包括:记录打开/关闭交换数据的信息,监视目录等。
password
用来升级用户验证标记。
control-flag
控制标志用来设置验证成功或者失败后PAM需要作出的反应。因为模块可以层叠(stacked,同样类型的模块依次执行),控制标志可以决定每个模块的 重要性。应用程序不会意识到单个模块成功或者失败,它只会收到Linux-PAM库成功或者失败的综合反应信息。层叠模块的执行顺序取决于/etc /pam.conf文件的入口顺序,入口列前的模块先执行。从Linux-PAM 6.0开始可以使用两种语法定义控制标志。
简单的一种是使用单一关键词定义控制标志。有四个这样的关键词:required、requisite、sufficient和optional。
Linux-PAM通过如下方式解释这些关键词:
required
表示即使某个模块对用户的验证失败,也要等所有的模块都执行完毕之后,PAM才返回错误信息。这样做是为了不让用户知道被哪个模块拒绝。如果对用户验证成功,所有的模块都会返回成功信息。
requisite
如果特定的模块对用户的验证失败,PAM马上返回一个错误信息,把控制权交回应用程序,不再执行其它模块进行验证。
sufficient
表示如果一个用户通过这个模块的验证,PAM结构就立刻返回验证成功信息,把控制权交会应用程序。后面的层叠模块即使使用requisite或者required控制标志,也不再执行。如果验证失败sufficient的作用和optional相同。
optional
表示即使本行指定的模块验证失败,也允许用户享受应用程序提供的服务。使用这个标志,PAM框架会忽略这这个模块产生的验证错误,继续顺序执行下一个层叠模块。
还有一种比较复杂的语法来设置控制标志,它由一组value=action形式的标记组成,标记之间以空格分开:
[value1=action1 value2=action2 …]
valueN可以是下列Linux-PAM库的返回值:success、open_err、symbol_err、service_err、 system_err、buf_err、perm_denied、auth_err、cred_insufficient、 authinfo_unavail、user_unknown、maxtries、new_authtok_reqd、acct_expired、 session_err、cred_unavail、cred_expired、cred_err、no_module_data、conv_err、 authtok_err、authtok_recover_err、authtok_lock_busy、authtok_disable_aging、 try_again、ignore、abort、authtok_expired、module_unknown、bad_item和default。最 后一个(default)能够用来设置上面的返回值无法表达的行为。
actionN可以是一个非负整数或者是下面的记号之 一:ignore、ok、done、bad、die和reset。如果是非负整数J,就表示需要忽略后面J个同样类型的模块。通过这种方式,系统管理者可 以更加灵活地设置层叠模块,模块的层叠路径由单个模块的反应决定。
ignore
如果使用层叠模块,那么这个模块的返回值将被忽略,不会被应用程序知道。
bad
它表示这个返回码应该被看作是模块验证失败。如果这个模块是层叠模块的第一个验证失败的模块,那么它的状态值就是整个层叠模块的状态值。
die
终止层叠模块验证过程,立刻返回到应用程序。
ok
告诉PAM这个模块的返回值直接作为所有层叠模块的返回值。也就是说,如果这个模块前面的模块返回状态是PAM_SUCCESS,那这个返回值就会覆盖前面的返回状态。注意:如果前面的模块的返回状态表示模块验证失败,那么不能使用这个返回值覆盖。
done
终止后续层叠模块的验证,把控制权立刻交回应用程序。
reset
清除所有层叠模块的返回状态,从下一个层叠模块重新开始。
module-path
PAM验证模块的路径。如果以/开头,就表示是完整的路径;如果不是以/打头,就表示是相对于/usr/lib/security的相对路径。
args
传递给模块的参数。类似于通常的Linux Shell命令行参数。有效的参数包括一些通用参数和特定于给定模块的参数。无效的参数将被忽略,并会把错误信息记录到syslog。
注意:配置文件中的任何一行错误都会导致验证失败,同时相关错误信息被记录到syslog。
4.2 基于目录的配置形式
从Linux-PAM 5.6版开始引入了一种基于目录的配置方式,通过/etc/pam.d/目录下的文件对PAM进行配置。这种方式比单一的配置文件具有更大的灵活性。这个目录下的所有配置文件都以某个服务名命名(小写)。
不过,这两种配置方式不能同时起作用,也就是说,你只能使用其中一种对Linux-PAM进行配置。一般/etc/pam.d/优先。
/etc/pam.d/目录下的配置文件的语法和/etc/pam.conf文件的语法相似,形式如下:
module-type control-flag module-path arguments
和/etc/pam.conf文件语法的唯一不同就是没有服务名(service-name),服务名由文件名设置。例如:/etc/pam.d/login文件保存对login服务的设置。
这种配置方式与单一配置文件相比,具有很大的优越性:
减少了配置错误的几率。
更易于维护。
可以通过使用不同配置文件的符号连接决定系统的验证策略。
可以加快对于配置文件的解析。
可以对单个的Linux-PAM配置文件设置不同的存取权限。
更易于软件包的管理。
4.3 通用参数
下面是一些通用参数,可以被所有的模块解析:
debug
通过syslog系统调用记录调试信息。
nowarn
使模块不要向应用程序输出警告信息。
use_first_pass
使模块不提示用户输入密码,而是使用为前一个验证模块输入的密码。如果无效,则验证失败。这个参数只能用于auth和password类型模块。
try_first_pass
首先使用用户为上一个模块输入的密码进行验证,如果不行,就提示用户输入密码,这个参数只能用于auth类型的模块。
use_mapped_pass
这个参数目前还不能被任何Linux-PAM模块支持,主要因为美国加密算法的出口限制。
expost_account
通常,对于模块来说泄露用户的某些信息并非一个安全的策略。有时候用户名、起始目录或者用户使用的shell等信息都可以被攻击者用来攻击一个用户帐户。这个参数是一个适用于每个模块的标准参数,它可以使模块尽量少地泄露用户信息。
4.4 配置文件入口示例
在这一节,我们将给出一些例子,以便于理解。
4.4.1 默认策略
一个合理的OTHER入口对于加强系统安全非常重要。下面是一个非常偏执的例子。
# 默认; 拒绝访问
#
OTHER auth required /usr/lib/security/pam_deny.so
OTHER account required /usr/lib/security/pam_deny.so
OTHER password required /usr/lib/security/pam_deny.so
OTHER session required /usr/lib/security/pam_deny.so
毫无疑问,这是最安全的OTHER策略了,但是不太合理。例如:如果这个文件的其它部分编写不好,那么很容易把所有的用户挡在门外。
pam_deny模块在运行时不记录任何信息,除非用户在无法执行某个服务程序时能够与系统管理人员联系,否则系统管理者很长时间不会知道系统配置错误。
在上面例子的前面加入以下几行,系统管理者就可以获得有关的警告信息了:
# 如果程序配置错误
#
OTHER auth required /usr/lib/security/pam_warn.so
OTHER password required /usr/lib/security/pam_warn.so
这样有两行是auth模块类型,形成模块层叠。
在一个使用/etc/pam.d/配置的系统中,默认配置文件如下:
# default configuration: /etc/pam.d/other
#
auth required /usr/lib/security/pam_warn.so
auth required /usr/lib/security/pam_deny.so
account required /usr/lib/security/pam_deny.so
password required /usr/lib/security/pam_warn.so
password required /usr/lib/security/pam_deny.so
session required /usr/lib/security/pam_deny.so
对于不熟悉Linux-PAM的系统管理者,下列几行可以作为最基本的系统配置:
# default; standard UNIX access
#
OTHER auth required /usr/lib/security/pam_unix_auth.so
OTHER account required /usr/lib/security/pam_unix_acct.so
OTHER password required /usr/lib/security/pam_unix_passwd.so
OTHER session required /usr/lib/security/pam_unix_session.so
通常这足以为大多数应用程序提供验证服务了。但是,大多数并不表示全部。如果你需要打开FTP匿名登录功能,就无法满足要求了。
为了打开匿名FTP,需要使用以下的配置命令代替默认的配置(OTHER):
# ftpd; add ftp-specifics. These lines enable anonymous ftp over
# standard UNIX access (the listfile entry blocks access to
# users listed in /etc/ftpusers)
#
ftpd auth sufficient /usr/lib/security/pam_ftp.so
ftpd auth required /usr/lib/security/pam_unix_auth.so use_first_pass
ftpd auth required /usr/lib/security/pam_listfile.so
onerr=succeed item=user sense=deny file=/etc/ftpusers
由于需要忽略默认的配置入口,所以第二行是必须要有的。这还是一个层叠模块的例子。使用sufficient控制标志,表示如果这个模块验证通过,就不必使用后面的层叠模块进行验证了;use_first_pass表示使用为前面的模块(pam_ftp)输入的密码。
5.Linux-PAM的安全问题
这一章我们将讨论如何安全使用Linux-PAM。
5.1 如果出现错误
如果发生错误,Linux-PAM可能会改变系统的安全性。这取决于你自己的选择,你可以选择不安全(开放系统)和绝对安全(拒绝任何访问)。通常,Linux-PAM在发生错误时,倾向于后者。任何的配置错误都可能导致系统整个或者部分无法访问。
能够遇到最大的问题可能就是Linux-PAM的配置文件(/etc/pam.d/*或者/etc/pam.conf)被删除了。如果发生这种事情,你的系统就会被锁住。
不过,还是有办法进行恢复的。最好的方法就是重新启动系统进入单用户模式,然后进行正确地设置。下面是David Wood在邮件中提出的解决步骤:
首先,以单用户模式启动系统,出现LILO boot:时输入: LILO boot:linux single >——此处假设使用的内核标签是linux,可以按TAB键列出可用的内核
这样你不用登录就可以进入系统了。
如果这个办法不行,你还可以使用急救盘启动系统。
假设你的PAM系统只是配置文件被破坏,先按照如下步骤进行处理: cd /etc
mv pam.conf pam.conf.orig
mv pam.d pam.d.orig
mkdir pam.d
cd pam.d
接着,使用编辑程序编辑/etc/pam.d/other文件,它应该包括以下四行:
auth required pam_unix_auth.so
account required pam_unix_acct.so
password required pam_unix_passwd.so
session required pam_unix_session.so
然后,你就可以登录了。如果还是不行,那有可能是因为输入错误或者更严重的问题。如果是输入错误,会在日志文件中留下记录,可以使用tail /var/log/messages查看。
现在,你已经重新登录到系统了。下面的工作就是重新安装Linux-PAM和其它软件(假设是RedHat系统),使用如下命令重新安装PAM软件包: rpm -Uvh –force pam-*
然后,需要安装(重新安装)libc库、util-linux、wuftp、NetKit等受影响的软件包。如果使用X系统,也需要重新安装。
5.2 不要使用脆弱的other文件
如果系统默认配置文件other的配置比较脆弱,系统很可能受到攻击的威胁。
这是一个示例配置,pam_deny模块将拒绝所有的访问,而pam_warn模块将向auth.notice日志设备发送一条警告信息:
# The PAM configuration file for the `other’ service
#
auth required pam_deny.so
auth required pam_warn.so
account required pam_deny.so
account required pam_warn.so
password required pam_deny.so
password required pam_warn.so
session required pam_deny.so
session required pam_warn.so
6.模块使用参考
这一章我们将一块介绍Linux-PAM模块的用法
6.1 access模块
6.1.1 概要
模块名
pam_access
作者
Alexei Nogin
维护者
作者
提供的管理组功能
account
系统依赖性
需要一个配置文件。默认情况下,使用/etc/security/access.conf作为配置文件,也可以指定别的文件。
网络支持
通过PAM_TTY变量获得终端名,如果这个变量没有设置,就通过ttyname()函数获得标准输入文件描述符的终端名。还可以使用 gethostname(),yp_get_default_domain(), gethostbyname()函数获得主机名、域名等信息,作为每个配置行的第三项。
6.1.2 综述
提供一种日志监控风格的登录访问控制机制
6.1.3 account组件
能够识别的参数
accessfile=/path/to/file.conf
描述
这个模块提供一种日志监控风格的登录访问控制机制,这种机制是基于登录名、主机名、域名、internet地址、网络地址或者终端名的。A. Nogin把logdaemon-5.6(作者:Wietse Venema’s)中的login_access.c文件做了许多改动,用到了这个模块中。
这个模块的行为可以使用如下参数进行修正:
accessfile=/path/to/file.conf 使用别的配置文件代替默认的配置文件/etc/security/access.conf。
示例和建议
例如:在一个NIS服务器或者一个邮件服务器上,有很多用户,但是你不想让这些用户具有登录(login)能力。这时,建议你使用这个模块。
如果你的模块放在/lib/security目录,而且使用/etc/pam.d/风格的配置,可以在/etc/pam.d/login、 /etc/pam.d/rlogin、/etc/pam.d/rsh和/etc/pam.d/ftp文件中加入下面一行,来启动这个模块:
account required /lib/security/pam_access.so
注意:除非你的系统可以忽略.rhosts文件的作用,否则这个模块无法发挥作用。其中细节请参考对pam_rhost_auth模块的介绍。
此外,在软件的发布中有一个示例access.conf配置文件。
6.2 chroot模块
6.2.1 概要
模块名
pam_chrooot
作者
Bruce Campbell
维护者
作者
提供的管理组功能
account、session、authentication
网络支持
本地主机
6.2.2 综述
这个模块为普通用户提供一个假的文件系统,例如:在他们看来的/目录实际上是/some/where/else。
如果系统中有几类用户,而你对安全问题又十分重视,就可以使用这个模块。它可以对用户能够看到的系统信息和能够运行的程序进行限制。
6.2.3 account组件
原著尚未完成
6.2.4 session组件
同上
能够识别的参数
可以使用PAM的通用参数和日志级别作为其参数。
示例和建议
提供合理的程序,例如只提供cat、ls、rm、cp和ed等。
不要滥用这个模块,例如:你可以为每个用户安装一个隔离的环境,但是这样非常浪费磁盘空间。
6.3 密码强度检查模块
6.3.1 概要
模块名
pam_cracklib
作者
Cristian Gafton
维护者
作者
提供的管理组功能
password
系统依赖性
需要libcrack库和字典/usr/lib/cracklib.dict。
6.3.2 综述
这个模块可以插入到实现password管理组功能的层叠模块中,为给定的程序提供密码强度检查。
这个模块以如下方式工作:首先调用cracklib例程检查密码强度,如果密码不易破译,就进行下面的强度检查:
新密码是否旧密码的回文。
新密码是否只是就密码改变了大小写
和旧密码是否相似。主要由difok参数控制,如果新旧密码之间不同的字符数目大于或等于这个参数就接受新的密码,这个参数的默认值是10或者新密码的 1/2。为了避免对一个很长、很复杂的密码进行查询,还可以使用 difignore参数。这个参数可以指定一个值,如果新的密码长度超过这个值,就不必进行这种检查,默认值是23。
是否新密码太短。由5个参数控制:minlen、dcredit、ucredit、lcredit和ocredit。在此就不一一介绍了。
新密码是否是旧密码的回环
这个密码以前是否用过。过去用过的密码可以在/etc/security/opasswd文件中找到。
对于标准的UNIX密码加密算法,即使没有参数,这个模块也会工作得很好。但是,对于MD5加密算法,密码可以超过8个字符,使用默认的设置将使用户很 难找到满意的密码。MD5算法的默认设置要求新密码中和旧密码相同的字符不能超过1/2,而且是强制的。例如:旧的密码是”the quick brown fox jumped over the lazy dog”,那这个密码是很难被替换的:)。除此之外,MD5算法的默认设置还允许密码长度小于5个字符。因此,对于MD5系统需要对配置做一些调整,提高 字符数的底限,减小对不同字符的比例限制。
6.3.3 password组件
能够识别的参数
debug、type=XXX、retry=N、difok=N、minlen=N、dcredit=N、ucredit=N、lcredit=N、ocredit=N、use_authtok
描述
这个模块提示用户输入一个密码,然后根据一个系统字典和一组规则检查它的强度。
默认情况下,它首先提示用户输入一个密码,如果认为强度足够,就提示用户重新输入一遍,以保证密码输入正确。完成这些动作后,就把这个密码产地给subsequent模块,由subsequent模块安装新的验证记号(也就是密码)。
这个模块的动作可以通过一些参数改变:
debug
把模块详细的行为信息写到syslog,但不包括密码信息。
type=xxx
修改提示信息。默认的提示信息是:”New UNIX password:”和”Retype UNIX password”。设置这个选项可以使xxx代替UNIX。
retry=N
改变输入密码的次数,默认值是1。就是说,如果用户输入的密码强度不够就退出。可以使用这个选项设置输入的次数,以免一切都从头再来。
difok=N
默认值为10。这个参数设置允许的新、旧密码相同字符的个数。不过,如果新密码中1/2的字符和旧密码不同,则新密码被接受。
minlen=N
密码字符个数下限加一。除了限制新密码字符的个数之外,还有一些参数可以限制每种字符(other、upper、lower和digit)的个数。minlen的默认值是9,这个值对于旧风格的UNIX密码是非常合适的,但是对于MD5系统却并不是很安全。
ucredit=N
限制新密码中最多有多少个大写字符。
lcredit=N
限制新密码中最多有多少个小写字符。
ocredit=N
限制新密码中最多有多少个其它的字符。
use_authok
不让模块执行提示用户输入密码的动作,使用前面层叠的password模块提供的密码。
示例和建议
下面我们举一个例子,看一下这个模块是如何与pam_pwdb的password组件实现层叠的:
# These lines stack two password type modules. In this example the
# user is given 3 opportunities to enter a strong password. The
# “use_authtok” argument ensures that the pam_pwdb module does not
# prompt for a password, but instead uses the one provided by
# pam_cracklib.
#
passwd password required pam_cracklib.so retry=3
passwd password required pam_pwdb.so use_authtok
下面是一个使用MD5加密算法的例子:
#
# These lines allow a md5 systems to support passwords of at least 14
# bytes with extra credit of 2 for digits and 2 for others the new
# password must have at least three bytes that are not present in the
# old password
#
password required pam_cracklib.so
difok=3 minlen=15 dcredit= 2 ocredit=2
password required pam_pwdb.so use_authtok nullok md5
6.4 拒绝模块
6.4.1 概要
模块名
pam_deny
作者
Andrew G. Morgan
维护者
当前Linux-PAM的维护者。
提供的管理组功能
account、authentication、password、session
clean code base
clean
6.4.2 综述
这个模块能够用来拒绝任何访问。它是向应用程序反馈验证失败的信息。这个模块比较适合于other文件。
6.4.3 帐户组件
描述
这个组件只是返回一个失败信息。失败的类型是PAM_ACCT_EXPIRED。
示例和建议
应用程序是通过引用Linux-PAM的帐户管理函数pam_acct_mgmt(),让用户获得系统的访问权。但是,如果把这个模块和account类型的模块层叠,用户将不能通过应用程序获得系统访问权。
下面的配置行将使任何用户都无法登录:
# add this line to your other login entries to disable all accounts
#
login account required pam_deny.so
6.4.4 验证组件
描述
这个组件只是返回失败信息,错误类型取决于应用程序调用的函数。如果应用程序试图调用pam_authenticate()函数验证用户,则失败类型是 PAM_AUTH_ERR;如果应用程序调用pam_setcred()函数,以建立和设置用户的验证凭证,则失败类型是 PAM_CRED_UNAVAIL。
示例和建议
如果想使应用程序拒绝为用户提供服务,可以在配置文件中加入以下配置行:
# add this line to your existing OTHER entries to prevent
# authentication succeeding with default applications.
#
OTHER auth required pam_deny.so
6.4.5 密码组件
描述
这个组件能够拒绝用户修改密码。如果收到修改密码的企图,它将返回PAM_AUTHOK_ERR类型的失败信息。
示例和建议
这个组件用于阻止应用程序改变用户的密码。例如,为了阻止login在旧密码失效时,自动提示用户输入新的密码,你可以在配置文件中加入以下配置行:
# add this line to your other login entries to prevent the login
# application from being able to change the user’s password.
#
login password required pam_deny.so
6.4.6 会话组件
描述
deny模块的这个组件能够阻止应用程序在主机上启动会话过程。
示例和建议
这个模块能够阻止用户启动一个shell。如果和pam_motd模块层叠,我们可以在配置文件中加入以下配置行,告诉用户现在是系统维护时间:
# An example to see how to configure login to refuse the user a
# session (politely)
#
login session required pam_motd.so
file=/etc/system_time
login session required pam_deny.so
6.5 环境变量设置/取消模块
6.5.1 概要
模块名
pam_env
作者
Dave Kinchlea
维护者
作者
提供的管理组类型
authentication(setcred)
系统依赖性
/etc/security/pam_env.conf
6.5.2 综述
使用这个模块可以设置/取消环境变量的定义。
6.5.3 验证组件
能够识别的参数
debug、conffile=configuration-file-name、envfile=/env-file-name、readenv=/0|1
描述
你可以使用固定的字符串通过这个模块设置变量或者取消对环境变量的设置。设置的环境变量值和PAM_ITEM是与或者或的关系。
这些由一个配置文件控制,默认情况下,配置文件是/etc/security/pam_env.conf。不过,可以通过connfile文件指定其它 的配置文件。配置文件的每个配置行都是以环境变量名开头,接着是两个选项:DEFAULT、OVERRIDE。DEFAULT表示:把这个变量设置为默认 值,如果不存在就把它的值设置为一个空字符串。OVERRIDE表示:使用新的值得覆盖默认值。如果OVERRIDE之后,没有定义变量值,就假定是空字 符串,而且不会执行覆盖动作。
VARIABLE [DEFAULT=[value]] [OVERRIDE=[value]]
环境变量可以以$(string)的语法使用,而PAM_ITEM可以通过@(string)的语法使用。如果string中含有$、@字符,需要在前 面加上反斜杠作为转义符,例如:$。当需要空格时,可以使用引号,但是空格不能环境变量的名字中出现。环境变量的值必须以引号分割。
这个模块也能够以KEY=VAL对的方式解析文件,每个KEY=VAL对占一行,默认文件是/etc/environment。你可以使用envfile选项改变需要解析的文件,使用readenv选项打开/关闭解析的文件。
这个模块的行为可以修改以下参数来设置:
debug
向syslog写入更多信息。
confile=filename
默认配置文件是/ec/security/pam_env.conf。这个选项指定的文件可以覆盖默认文件。不过,你必须使用完整的文件路径。
envfile=filename
默认是/etc/environment,使用这个选项指定其它的文件。也需要使用完整的文件路径。
readenv=0|1
打开(1)/关闭(0)从envfile中读取环境变量。默认情况下,这个选项为开(1)。
示例和建议
参考/etc/security/pam_env.conf文件。
6.6 过滤模块
6.6.1 概要
模块名
pam_filter
作者
Andrew G. Morgan
维护者
作者
提供的管理组功能
account、authentication、password、session
Clean code base
This module compiles cleanly on Linux based systems.
系统依赖性
需要安装pam_filter程序。
6.6.2 综述
这个模块为应用程序提供了一个插入式的过滤器。由于为某个程序重新编写过滤代码实现过滤功能是不太现实的,简直是开玩笑。这个模块能够对输入流中的大小写字符进行替换,然后输出到输出流。
6.6.3 Account+Authentication+Password+Session组件
能够识别的参数
debug、new_term、non_term、runX
描述
这个模块的所有组件都可能会执行所需要的过滤程序。过滤程序是以调用的程序的权限运行的,而不是以用户的权限运行。因此,普通用户只能关闭他们的会话过程才能杀死过滤进程。
pam_filter模块的行为可以由Linux-PAM配置文件传递的参数改变:
debug
模块运行时,syslog记录更多的信息。
new_term
作为一种默认的行为,过滤器会设置PAM_TTY选项,指示用户与应用程序进行联系的终端。这个参数表示过滤程序应该把PAM_TTY设置为被过滤的伪终端。
no_term
不必设置PAM_TTY选项。
runX
为了使这个模块能够执行一个过滤程序,应该让它知道何时执行。可以使用这个参数实现上述目的。这个参数紧跟过滤程序的路径名以及其命令行参数。
X的值可以是1和2。它表示过滤程序运行的确切时间。对于每种管理组功能,它会牵扯到不同的函数调用。
在authentication和session组件中,分别牵扯到两个函数。对于authentication管理组,这两个函数是 _authenticate和_setcred。run1表示从_authenticate函数运行过滤程序;run2表示从_setcred函数运行过 滤程序。对于session管理组,run1表示过滤程序从_open_session函数运行;run2是从_close_session函数运行。
对于account组件,run1和run2是一样的。
对于password管理组组件,run1表示过滤程序在_chauthtok函数首次运行时(PAM_PRELIM_CHECK阶段)执行;而run2表示过滤程序是在_chauthtok第二次运行时(PAM_UPDATE_AUTHOK阶段)执行。
示例和建议
你可以在login的配置文件(/etc/pam.d/login)中加入下面入口,实际尝试一下这个模块的应用:
# An example to see how to configure login to transpose upper and
# lower case letters once the user has logged in(!)
#
login session required pam_filter.so
run1 /usr/sbin/pam_filter/upperLOWER
6.7 匿名访问模块
6.7.1 概要
模块名
pam_ftp
作者
Andrew G. Morgan
维护者
作者
提供的管理组功能
authentication
网络支持
提示用户输入email地址
6.7.2 综述
这个模块的用途是提供一种插入式的匿名FTP访问模式。
6.7.3 authentication组件
能够识别的参数
debug、users=xxx,yyy,….、ignore
描述
这个模块解释用户名和密码,如果用户名是ftp或者anonymous,而用户的密码是以@分割的,它就会把@前后两部分分别设置为 PAM_RUSER和PAM_RHOST选项的值。用户名被设置为ftp。模块验证成功。在其它情况下,这个模块就会通过PAM_AUTHTOK选项返回 需要输入密码和验证失败的信息。
这个模块的行为可以使用如下参数修改:
debug
向syslog输出调试信息
users=xxx,yyy,….
使用等号之后给出的用户名代替ftp或者anonymous,作为匿名FTP的用户名。
ignore
不理会用户没有email地址。
示例和建议
在第四章中,有一个使用匿名FTP模块的例子。
6.8 组访问模块
6.8.1 概要
模块名
pam_group
作者
Andrew G. Morgan
维护者
作者
提供的管理组功能
suthentication
系统依赖性
需要/etc/security/group.conf文件。可以与libpwdb连接。
网络支持
只能通过正确设置PAM_TTY选项。
6.8.2 综述
这个模块根据用户名和发起服务请求的终端,提供组分类功能。
6.8.3 authentication组件
描述
这个模块不对用户进行验证,而是为用户赋予组成员关系。这种组成员关系是根据用户请求的服务划分的,在/etc/security/group.conf文件中以文本的方式设置。
示例和建议
想要这个模块正常工作,需要准确设置/etc/security/group.conf文件。其格式如下:
services; ttys; users; times; groups
前四项和pam_time配置文件:/etc/security/pam_time.conf或者time.conf中的相同。groups是一些以逗号或者空格分开的文本字符串,表示一些组名。如果用户的应用程序满足前四项,则用户就被加入到第五项定义的组中。
这个模块能否起作用取决于用户对文件系统的访问权限。这一点是指,一旦用户成为一个组的成员,这个用户就可能利用获得的权限试图建立一个 setgid程序。而以后,如果这个用户不再属于这个组,他就可以通过这个程序非法回到这个组中。由于这个原因,用户具有写权限的文件系统需要非常严格的 限制,如果文件系统在mount时,被设置为nosuid,那用户就无法建立和执行这样的程序。因此,使用这个模块时,用户具有写权限的所有文件系统都需 要使用nosuid参数mount。
pam_group的作用和/etc/group文件是并行的,如果用户被加入的这个模块定义的任何组中,同时也被加入到/etc/group文件中;反之亦然。
6.9 issue模块
6.9.1 概要
模块名
pam_issue
作者
Ben Collins
维护者
作者
提供的管理组功能
authentication(pam_sm_authenticate)
6.9.2 综述
这个模块能够在提示信息中,加入一个文件的内容。
6.9.3 authentication组件
能够识别的参数
issue=issue-file-name、noesc
描述
你可以使用这个模块在用户提示信息中加入一个issue文件的内容。这个模块还可以解析issue文件中的转义词,例如:x。
有效的转义码如下:
d: 当前的日期
s: 操作系统名
l: 这个终端名
m: 系统的体系(i686、spacr、pwerpc、….)
n: 系统主机名
o: 系统域名
r: 操作系统版本号
t: 当前时间
u: 当前登录的用户数
U: 和u相同,只有后缀有所不同:u的后缀是user;U的后缀是users。
v: 操作系统的版本/建立日期
这个模块的行为可以通过一下参数修改:
issue: 指定使用的文件
noesc: 关闭对转义词的解析
示例和建议
login auth pam_issue.so issue=/etc/issue
------

PAM 配置简介

写这篇文章主要是想总结一下近来折腾 PAM 配置的收获和感想。

背景

PAM 是用来进行鉴定授权的一套框架,其主要目的就是分离这三个东西:
  • 有鉴定需求的应用程序
  • 实施的鉴定方法
  • 对鉴定方法的组合策略
那么每一个这样的应用程序就是一个 PAM Application,一种鉴定方法就是一个 PAM Moudule,而由用户配置的鉴定方法组合策略,则是 PAM Configuration

基本流程

PAM 有四组相互独立的功能,分别是鉴定(Auth)、账户管理 (Account)、会话管理(Session)、密码修改(Password)
这四个功能的用途可以从名字上略知一二,不过我先按下不表。因为这四个功能是相互独立的,即 pam.conf 里是分开写的,Module 里这几个接口是分开提供的,Application 则是分开调用这些接口的。在讨论 pam 执行流程的时候,区分这些功能没有什么太大意义。
那么一个功能是怎么被使用起来的呢?这个就是要说到的基本流程了。 从应用程序的角度,PAM 工作的基本流程如下:
  1. Application 收集如下信息:要鉴定的用户名(username);要鉴定的服务名(如 login, sshd 等);
  2. Application 开启一个 PAM 事务,初始化 PAM;
  3. 调用某个 PAM 功能;
  4. 根据返回值判断功能是否成功,如果失败,则可以根据返回值判断出错原因;
  5. 关闭 PAM 事务;
  6. 结束。
就是这么简单。有人可能会问:我的密码是怎么输进去的呢?收集密码的功能是 PAM Module 具体操作的,当 PAM Module 想要收集密码的时候,会通知 PAM,PAM 则会调用事先 Application 注册的回调函数来收集密码。这个回调函数有可能是打印提示符,从标准输入读入密码(比如 login su sudo 等),也可能是向远程客户端发出收集密码的指令(比如 ssh),具体怎么收集密码,是 Application 实现的。
当 Application 去调用某个 PAM 功能时,PAM 会去依照 pam.conf 里设定的规则,依次载入并调用配置文件里记载的若干 Module,于是每个 Module 的相应功能被调用,并进行一些操作,返回一个返回值。PAM 根据一定的规则,综合这些 Module 的返回值,最终得出一个“总的”返回值,返回给 Application。
而 pam.conf 则是由系统管理员配置的,它控制着模块调用的顺序和规则,以及“总的”返回值得出的方式。

pam.conf overview

pam.conf 一般保存在 /etc/pam.d/ 下,每个 Service 的配置文件都以其名字命名。例如 /etc/pam.d/sshd。习惯上,一个使用 PAM 的 Application 的 Service 名字一般取作其可执行文件的名字,但这并不绝对,因为一个 Application 究竟使用什么作为 Service 名字,是这个 Application 在初始化 PAM 事务的时候,作为参数传给传给 PAM 的。
配置文件举例如下:
1
2
3
4
5
6
7
8
# /etc/pam.d/su
# su: auth account session
auth       sufficient     pam_rootok.so
auth       required       pam_opendirectory.so
account    required       pam_group.so no_warn group=admin,wheel ruser root_only fail_safe
account    required       pam_opendirectory.so no_check_shell
password   required       pam_opendirectory.so
session    required       pam_launchd.so
相信你已经看出来了,这个文件每一行就是一条配置,每条配置由这么几项组成:
  • 功能名,这个我之前有说过,一共有四种,分别是 authaccountpasswordsession;现在我们只需要知道这四种功能相互独立,处理逻辑是一致的就好了,我们暂时不需要管着四种功能具体是干什么的。
  • 控制标记。这个很关键,主要用于控制模块调用的顺序和返回值的生成。取值有 optionalsufficientrequiredrequisitebinding
  • 模块。这个就是指定的 PAM Module,如果不指定路径,则会自动在默认路径中搜素。否则使用指定的绝对路径。
  • 其他参数。用空格分开的其他参数,这些参数会被全权交给 PAM Module 处理。
此外还有一种语法是:
1
function-class include other-service-name
作用是将其它的 service 直接包含进来。

PAM Module 调用流程

下面则是比较关键的一个环节,就是我讲了这么半天的“模块调用的顺序和返回值的生成”。
模块的调用和生成返回值遵从以下过程:
  1. 设定要执行的功能 (Function)
  2. 取出该功能相应的 PAM 配置链(chain)
  3. 设定返回值 ret 为 PAM_SUCCESS
  4. 设定出错标记 fail 为 false
  5. 设定成功次数 success 为 0
  6. 从前向后依次遍历配置链,调用相应配置项的 PAM Module 的相应功能函数。
  7. PAM Module 做一些事情,给出返回值
  8. 获得该模块的返回值r
  9. 若 r 为 PAM_IGNORE 则表示该模块希望 PAM 忽略这一结果,于是转 6, 继续处理下一个配置项;若都处理完毕,则转 12
  10. 当控制标记为:
    • optional 时,若 r 为 PAM_SUCCESS,则 success ++ ;否则不处理
    • required 时,若 r 为 PAM_SUCCESS,则 success ++ 。当 r 为其他值时,若 fail 为 false,则 fail 置为 true,且将 ret 置为 r;否则不处理
    • requisite 时,若 r 为 PAM_SUCCESS 则同 required;否则同 requisite;并立刻终止遍历,转 12
    • sufficient 时,若 r 为 PAM_SUCCESS 则 success ++,同时,若 fail 为 false,则终止遍历,转 12。若 r为其他值,则不作处理。
    • binding 时,若 r 为 PAM_SUCCESS 则同 sufficient,反之同 required
  11. 转 6,继续处理下一条配置项
  12. 若 success 为 0 但 ret 为 PAM_SUCCESS,则将 ret 置为 PAM_SYSTEM_ERR
  13. 返回 ret
总结一下,PAM 配置执行过程中有这么几个要点:
  • 按照 PAM 配置文件从前向后依次调用 PAM Module
  • 每个 PAM Module 都有自己的一个返回值
  • optional 的模块会被调用,但结果会被忽略
  • 一旦有一个 required 的 Module 不成功,则整条配置链注定失败,且返回值就是这个 Module 的返回值,但后边的模块都会被调用,它们的返回值会被忽略(这主要是为了避免被知道是哪一个 Module 失败了)
  • 一旦有一个 requisite 的 Module 不成功,则整条配置链会被立刻终止执行,但返回值视情况而定。若之前已经有 required的 Module 不成功,那么返回值取之前的那个返回值;反之则取这个 Module 的返回值
  • 若一个 sufficient 的 Module 成功了,且之前没有 required 的 Module 失败,则整条配置链停止执行,鉴定成功;若之前有 required 的 Module 失败,则会忽略这个成功的结果,继续执行配置链
  • bind 的 Module 成功时,处理方法和 sufficient 一致;失败时,和 required 一致
  • 若要鉴定成功,则必须至少一个 Module 成功。
因此,某些资料有一些“sufficient 是鉴定成功的充分条件”的说法是不准确的。

四种功能

终于回到这四种功能上了。首先这四种功能,原则上,PAM 模块可以作任何想做的事情。但实际上还是有一定约定和习惯的。
  • auth 用于鉴定用户身份。通常来说,就是用于收集秘密信息,鉴定声称是身份的 visitor 是否是该身份的持有者。鉴定方法有各种各样的,比如要求输入密码、对某种不可复制的物品进行鉴定等。
  • account 用于管理用户登录资格。具体而言,就是在成功鉴定了来者是他所声称的那个身份后,用于确认用户在相应的上下文中是否有资格访问系统。比如限定登录时间、限定登录位置(tty)、限定远程主机等。
  • session 则是会话管理。在打开和关闭用户会话时调用,具体用途有记录登录日志、设定登录环境、启动和停止计费等。
  • password 用于更改用户密码。它的特殊性在于,当应用程序尝试执行修改密码的功能时,整条配置链会被执行两次,第一次用于预判是否能够修改密码(比如判断是否有足够的写入权限、如果密码存在网络上,判断网络连接是否正常等),第二次用于修改密码。这两次执行的时候,PAM 会为 Module 传入不同的 flag,因此不会混淆。当判断修改的权限时,suffcient 会被当作optional 对待

模块参数

一般的来讲,Module 的参数是由模块全权处理的,但是不同的 Module 接受的参数还是有一定共性的约定的。下面是一些常见的参数。注意,不一定所有的 Module 都接受这些参数,这些参数的意义也有可能因 Module 的不同而有所变化,请以 Module 的文档为准。
  • debug:输出调试信息
  • use_first_pass:意味着 Module 不提示用户输入密码,而是用上一个模块输入的密码;如果之前没有模块输入密码,则使用 Application 在调用 PAM 鉴定功能前设定的密码。如果 Application 没有设定密码,则 Module 会获知这一情况,进行相应的处理。
  • try_first_pass:跟 use_first_pass 类似,但是当上一个模块输入的密码或 Application 提供的密码不正确或不存在时,提示用户输入密码,重新鉴定。
  • nullok:允许空密码,或者当不存在相应的鉴定信息文件的时候通过鉴定(前者例如 pam_unix.so;后者例如 pam_google_authenticator.so,当保存有被鉴定的用户的 OTP 信息的秘密文件不存在时,通过鉴定)。

Linux-PAM 高级语法

Linux-PAM 在控制标记字段支持一种高级的语法,即跟据 Module 返回值指派处理动作:
1
[val1=act1 val2=act2 ... default=act3]
其中 val 是返回值,合法的取值有:
  • success
  • open_err
  • symbol_err
  • service_err
  • system_err
  • buf_err
  • perm_denied
  • auth_err
  • cred_insufficient
  • authinfo_unavail
  • user_unknown
  • maxtries
  • new_authtok_reqd
  • acct_expired
  • session_err
  • cred_unavail
  • cred_expired
  • cred_err
  • no_module_data
  • conv_err
  • authtok_err
  • authtok_recover_err
  • authtok_lock_busy
  • authtok_disable_aging
  • try_again
  • ignore
  • abort
  • authtok_expired
  • module_unknown
  • bad_item
  • conv_again
  • incomplete
  • default
这些返回值(除了 success)具体的意义则是 Module 相关的,可以通过阅读文档或源代码得到。
act 则是采取的动作,合法的取值有:
  • ignore
  • bad
  • die
  • ok
  • done
  • N (一个无符号整数)
  • reset
而原有的 optionalsufficientrequisiterequired 则等价于:
1
2
3
4
5
6
7
8
9
10
11
required
  [success=ok new_authtok_reqd=ok ignore=ignore default=bad]

requisite
  [success=ok new_authtok_reqd=ok ignore=ignore default=die]

sufficient
  [success=done new_authtok_reqd=done default=ignore]

optional
  [success=ok new_authtok_reqd=ok default=ignore]
而整个处理流程则变成:
  1. 设定要执行的功能 (Function)
  2. 取出该功能相应的 PAM 配置链(chain)
  3. 设定返回值 status 为 PAM_PERM_DENIED
  4. 设定印象 impression 为 _PAM_UNDEF
  5. 从前向后依次遍历配置链,调用相应配置项的 PAM Module 的相应功能函数。
  6. PAM Module 做一些事情,给出返回值
  7. 获得该模块的返回值r
  8. 根据返回值 r 选取采取的动作 action
  9. 当 action 为:
    • reset 时,恢复 status 为 PAM_PERM_DENIED;并恢复 impression 为 _PAM_UNDEF
    • ok 时,当 r 为 PAM_IGNORE 时,不处理;否则,当 impression 为 _PAM_UNDEF 时,更新 impression 为 _PAM_POSITIVE,并将 status 更新为 r;当 impression 已经是 _PAM_POSITIVE 且 status 是 PAM_SUCCESS 时,将 status 更新为 r
    • done 时,同 ok,若 impression 为 _PAM_POSITIVE,则终止处理,转 11
    • bad 时,若 impression 已经是 _PAM_NEGATIVE,则不作处理;否则将 impression 置为 _PAM_NEGATIVE,若 r 是 PAM_IGNORE 则将 status 置为 PAM_PERM_DENIED,否则将 status 置为 r
    • die 时,同 bad,但立刻终止处理,转 11
    • ignore 时,不处理
    • N(无符号整数)时,跳过 N 个配置项
  10. 转 5,继续处理下一条配置项
  11. 若 status 是 PAM_SUCCESS 但 impression 不是 _PAM_POSITIVE,则将 status 覆盖为 PAM_PERM_DENIED
  12. 返回 status
摘录要点如下:
  • Linux PAM 引入了 action 来指示处理方式,这样代码就清晰了不少,同时增强了灵活性。
  • Linux PAM 引入 impression 来评估当前的局面。impression 仅被 action 控制,与具体的 Module 返回值没有关系。
  • 除了 reset 以外,impression 只能由“未知”转向“正面”(ok 和 done),或是由任意状态转向“负面”(bad 和 die)。一旦进入了“负面”,则除了被 reset 以外,不会进入别的状态。
  • status 取决于 Module 的返回值,同时受采取的 action 和当前的 impression 影响。
    无论 action 是什么,某个 Module 的返回值只会有两种处理方式:用于覆盖当前的 status 或者被忽略。注意:Module 的返回值是不会被修改的。
    例如:
    1
    auth [success=bad ignore=ignore default=done] pam_xxx.so
    这条配置的后果是,当 pam_xxx.so 失败的时候,虽然动作是 ok,但是 status 会被更新为一个非 PAM_SUCCESS 的值,最终导致鉴定失败。当 pam_xxx.so 成功的时候,虽然 status 被更新为了 PAM_SUCCESS,但是由于采取的动作是 badimpression 会转为“负面”,最终在出口处(步骤 11)PAM 把 status 覆盖为 PAM_PERM_DENIED
  • 一旦 impression 转为“负面”(bad 或 die),则 status 会被更新,且被“锁定”,之后的 Module 的所有返回值都会被忽略。
  • 若 impression 尚为“不确定”,则 ok 和 done 会接受这个返回值,更新 status;若 impression 为“正面”,但 status却不是 PAM_SUCCESS,则 status 不会被覆盖为 PAM_SUCCESS
  • reset 则会重置 impression 和 status
  • 无论如何 status 不会被置为 PAM_IGNORE
  • die 无论如何都会终止执行,但 done 只有在“正面”的 impression 时才会终止执行。
  • 最后,只有当 status 为 PAM_SUCCESS 且 impression 是“正面”的时候才会返回 PAM_SUCCESS,否则一律不能返回 PAM_SUCCESS
  • 最后+1,只有 status 会被返回给 Application,用于其判断是否成功以及错误原因,impression 是 PAM 工作时的内部状态,不算数的。

配置举例

继续立 #flag,下篇文章会介绍 yubikey 的各种奇妙用法,会有一些有意思的 pam 配置.
-----------

pam模块

一、pam简介

Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式. 换句话说,不用(重新编写)重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制. 这种方式下,就算升级本地认证机制,也不用修改程序.
PAM使用配置/etc/pam.d/下的文件,来管理对程序的认证方式.应用程序 调用相应的配置文件,从而调用本地的认证模块.模块放置在/lib/security下,以加载动态库的形式进,像我们使用su命令时,系统会提示你输入root用户的密码.这就是su命令通过调用PAM模块实现的.

二、PAM的配置文件介绍

PAM配置文件有两种写法:

一种是写在/etc/pam.conf文件中,但centos6之后的系统中,这个文件就没有了。
另一种写法是,将PAM配置文件放到/etc/pam.d/目录下,其规则内容都是不包含 service 部分的,即不包含服务名称,而/etc/pam.d 目录下文件的名字就是服务名称。如: vsftpd,login等.,只是少了最左边的服务名列.如:/etc/pam.d/sshd

由上图可以将配置文件分为四列,

第一列代表模块类型

第二列代表控制标记

第三列代表模块路径

第四列代表模块参数

1.PAM的模块类型

Linux-PAM有四种模块类型,分别代表四种不同的任务

它们是:认证管理(auth),账号管理(account),会话管理(session)和密码(password)管理,一个类型可能有多行,它们按顺序依次由PAM模块调用.

模块类型说明
auth用来对用户的身份进行识别.如:提示用户输入密码,或判断用户是否为root等.
account对帐号的各项属性进行检查.如:是否允许登录,是否达到最大用户数,或是root用户是否允许在这个终端登录等.
session这个模块用来定义用户登录前的,及用户退出后所要进行的操作.如:登录连接信息,用户数据的打开与关闭,挂载文件系统等.
password使用用户信息来更新.如:修改用户密码.

2.PAM的控制标记

PAM使用控制标记来处理和判断各个模块的返回值.(在此只说明简单的认证标记)

控制标记说明
required表示即使某个模块对用户的验证失败,也要等所有的模块都执行完毕后,PAM 才返回错误信息。这样做是为了不让用户知道被哪个模块拒绝。如果对用户验证成功,所有的模块都会返回成功信息。
requisite与required相似,但是如果这个模块返回失败,则立刻向应用程序返回失败,表示此类型失败.不再进行同类型后面的操作.
sufficient表示如果一个用户通过这个模块的验证,PAM结构就立刻返回验证成功信息(即使前面有模块fail了,也会把 fail结果忽略掉),把控制权交回应用程序。后面的层叠模块即使使用requisite或者required 控制标志,也不再执行。如果验证失败,sufficient 的作用和 optional 相同
optional表示即使本行指定的模块验证失败,也允许用户接受应用程序提供的服务,一般返回PAM_IGNORE(忽略). 3.模块路径

模块路径.即要调用模块的位置. 如果是64位系统,一般保存在/lib64/security,如: pam_unix.so

同一个模块,可以出现在不同的类型中.它在不同的类型中所执行的操作都不相同.这是由于每个模块

针对不同的模块类型,编制了不同的执行函数.

4.模块参数

模块参数,即传递给模块的参数.参数可以有多个,之间用空格分隔开,如:

password required pam_unix.so nullok obscure min=4 max=8 md5

三、常用的PAM模块介绍

PAM模块结合管理类型说明
pam_unix.soauth提示用户输入密码,并与/etc/shadow文件相比对.匹配返回0
/account检查用户的账号信息(包括是否过期等).帐号可用时,返回0.
/password修改用户的密码. 将用户输入的密码,作为用户的新密码更新shadow文件
pam_shells.soauth
account
如果用户想登录系统,那么它的shell必须是在/etc/shells文件中之一的shell
pam_deny.soaccount
auth
password
session
该模块可用于拒绝访问
pam_permit.soauth
account
password
session
模块任何时候都返回成功.
pam_securetty.soauth如果用户要以root登录时,则登录的tty必须在/etc/securetty之中.
pam_listfile.soauth
account
password
session
访问应用程的控制开关
pam_cracklib.sopassword这个模块可以插入到一个程序的密码栈中,用于检查密码的强度.
pam_limits.sosession定义使用系统资源的上限,root用户也会受此限制,可以通过/etc/security/limits.conf或/etc/security/limits.d/*.conf来设定

四、实例

1、pam_securetty.so

限制root从tty1,tty2,tty5登录(无实际意义,只是演示pam_securetty的用法)

在/etc/pam.d/login中添加如下一行

auth  required         pam_securetty.so

在/etc/pam.d/securetty中将tty1,tty2,tty5注释即可

之后使用root用户再次登录,就会出现

这么做其实并不是只限制root用户,也可以将其它用户用此方法来限定,当系统安装完成后,使用此方法来增强一下安全性。

2、pam_listfile.so

仅essun用户可以通过ssh远程登录

在/etc/pam.d/sshd文件中添加一条

auth       required     pam_listfile.so item=user sense=allow file=/etc/sshdusers onerr=succeed

添加两个用户essun和tom

编辑file指定的文件,添加上一个用户essun

echo "essun" >/etc/sshdusers

使用tom用户登录

可以看到提示输入密码,当输入正确的密码后会提示

就像输入了错误的密码一样。而在使用essun用户登录则不会出现拒绝登录的提示

注:此处如果root也使用ssh远程连接,也会受到pam_listfile.so限制的。

其实pam模块的使用方法套路都差不多

如想了解更多的PAM模块的用法请man modules

温馨提示:

如果发生错误,Linux-PAM 可能会改变系统的安全性。这取决于你自己的选择,你可以选择不安全(开放系统)和绝对安全(拒绝任何访问)。通常,Linux-PAM 在发生错误时,倾向于后者。任何的配置错误都可能导致系统整个或者部分无法访问。

配置 Linux-PAM 时,可能遇到最大的问题可能就是 Linux-PAM 的配置文件/etc/pam.d/*被删除了。如果发生这种事情,你的系统就会被锁住。

有办法可以进行恢复,最好的方法就是用一个备份的镜像来恢复系统,或者登录'单用户模式',然后进行正确的配置。

No comments:

Post a Comment