1赡茸、PAM認(rèn)證原理和過程

• 原理：PAM認(rèn)證首先要確定那一項(xiàng)服務(wù)，然后加載相應(yīng)的PAM的配置文件(位于/etc/pam.d下)祝闻，最后調(diào)用認(rèn)證模塊文件(位于/lib/security/pam_*.so下)占卧，進(jìn)行安全認(rèn)證。
• 過程：
  1.使用者執(zhí)行/usr/bin/passwd程序联喘，并輸入密碼
  2.passwd開始呼叫PAM模塊华蜒，PAM模塊會(huì)搜尋passwd程序的PAM相關(guān)設(shè)定的配置文件，這個(gè)設(shè)定配置文件一般是在/etc/pam.d/里邊的與程序同名的文件豁遭，即PAM會(huì)搜尋/etc/pam.d/passwd這個(gè)設(shè)置文件
  3.經(jīng)由/etc/pam.d/passwd設(shè)定配置文件的數(shù)據(jù)叭喜，取用PAM所提供的相關(guān)模塊(在/lib/security/pam_*.so下)來進(jìn)行驗(yàn)證
  4.將驗(yàn)證結(jié)果回傳給passwd這個(gè)程序，而passwd這個(gè)程序會(huì)根據(jù)PAM回傳的結(jié)果決定下一個(gè)動(dòng)作（重新輸入密碼或者通過驗(yàn)證）

2蓖谢、PAM相關(guān)文件

模塊文件目錄：/lib64/security/.so
環(huán)境相關(guān)的設(shè)置：/etc/security/.conf ---有些模塊的配置文件不在/etc/pam.d目錄捂蕴，比如 pam_time.so模塊譬涡，它的配置文件就存放在這個(gè)目錄下，而不是/etc/pam.d目錄下啥辨。/etc/pam.d目錄下存放的一般都是各種程序和服務(wù)的配置文件涡匀，而不是單獨(dú)的模塊。
主配置文件:/etc/pam.conf溉知，默認(rèn)不存在
為每種應(yīng)用模塊提供一個(gè)專用的配置文件：/etc/pam.d/APP_NAME陨瘩，也就是各種服務(wù)的配置文件
注意：如/etc/pam.d存在，/etc/pam.conf將失效

3级乍、配置文件格式說明

通用配置文件/etc/pam.conf格式---不建議使用舌劳，跟sudo和cron一樣，建議寫到獨(dú)立的配置文件中
application type control module-path arguments
專用配置文件/etc/pam.d/*格式
type control module-path arguments
格式說明：
服務(wù)名（application）
telnet玫荣、login甚淡、ftp等，服務(wù)名字“OTHER”代表所有沒有在該文件中明確配置的其它服務(wù)
type :模塊類型（module-type）
control: PAM庫該如何處理與該服務(wù)相關(guān)的PAM模塊的成功或失敗情況
module-path: 用來指明本模塊對(duì)應(yīng)的程序文件的路徑名
Arguments: 用來傳遞給該模塊的參數(shù)
模塊類型（module-type）
Auth 賬號(hào)的認(rèn)證和授權(quán)
Account 與賬號(hào)管理相關(guān)的非認(rèn)證類的功能崇决，如：用來限制/允許用戶對(duì)某個(gè)服務(wù)的訪問時(shí)間材诽，當(dāng)前有效的系統(tǒng)資源(最多可以有多少個(gè)用戶)，限制用戶的位置(例如：root用戶只能從控制臺(tái)登錄)
Password 用戶修改密碼時(shí)密碼復(fù)雜度檢查機(jī)制等功能
Session 用戶獲取到服務(wù)之前或使用服務(wù)完成之后需要進(jìn)行一些附加的操作恒傻，如：記錄打開/關(guān)閉數(shù)據(jù)的信息脸侥，監(jiān)視目錄等
-type 表示因?yàn)槿笔Ф荒芗虞d的模塊將不記錄到系統(tǒng)日志,對(duì)于那些不總是安裝在系統(tǒng)上的模塊有用
Control:
PAM庫如何處理與該服務(wù)相關(guān)的PAM模塊成功或失敗情況
兩種方式實(shí)現(xiàn)：
簡單和復(fù)雜
簡單方式實(shí)現(xiàn)：一個(gè)關(guān)健詞實(shí)現(xiàn)
required ：一票否決，表示本模塊必須返回成功才能通過認(rèn)證盈厘，但是如果該模塊返回失敗睁枕，失敗結(jié)果也不會(huì)立即通知用戶，而是要等到同一type中的所有模塊全部執(zhí)行完畢再將失敗結(jié)果返回給應(yīng)用程序沸手。即為必要條件
requisite ：一票否決外遇，該模塊必須返回成功才能通過認(rèn)證，但是一旦該模塊返回失敗契吉，將不再執(zhí)行同一type內(nèi)的任何模塊跳仿，而是直接將控制權(quán)返回給應(yīng)用程序。是一個(gè)必要條件
sufficient ：一票通過捐晶，表明本模塊返回成功則通過身份認(rèn)證的要求菲语，不必再執(zhí)行同一type內(nèi)的其它模塊，但如果本模塊返回失敗可忽略惑灵，即為充分條件
optional ：表明本模塊是可選的山上，它的成功與否不會(huì)對(duì)身份認(rèn)證起關(guān)鍵作用，其返回值一般被忽略
include：調(diào)用其他的配置文件中定義的配置信息
復(fù)雜詳細(xì)實(shí)現(xiàn)：使用一個(gè)或多個(gè)“status=action”
[status1=action1 status2=action …]
Status:檢查結(jié)果的返回狀態(tài)
Action:采取行為ok英支，done佩憾，die，bad，ignore妄帘，reset
ok 模塊通過楞黄，繼續(xù)檢查
done 模塊通過，返回最后結(jié)果給應(yīng)用
bad 結(jié)果失敗寄摆，繼續(xù)檢查
die 結(jié)果失敗谅辣，返回失敗結(jié)果給應(yīng)用
ignore 結(jié)果忽略，不影響最后結(jié)果
reset 忽略已經(jīng)得到的結(jié)果
module-path: 模塊路徑
相對(duì)路徑：
/lib64/security目錄下的模塊可使用相對(duì)路徑
如：pam_shells.so婶恼、pam_limits.so
絕對(duì)路徑：如果不在/lib64/security目錄下桑阶，要寫上絕對(duì)路徑
模塊通過讀取配置文件完成用戶對(duì)系統(tǒng)資源的使用控制
注意：修改PAM配置文件將馬上生效
建議：編輯pam規(guī)則時(shí)，保持至少打開一個(gè)root會(huì)話勾邦，以防止root身份驗(yàn)證錯(cuò)誤
Arguments 用來傳遞給該模塊的參數(shù)

4蚣录、pam的幫助信息

/user/share/doc/pam-*
rpm -qd pam ---查找pam包都生成哪些文檔
man –k pam_
man 模塊名如man rootok
《The Linux-PAM System Administrators' Guide》

5、實(shí)驗(yàn)

示例1
?模塊：pam_shells
?功能：檢查有效shell
?man pam_shells
?示例：不允許使用/bin/csh的用戶本地登錄
vim /etc/pam.d/login
auth required  pam_shells.so
vim /etc/shells
去掉/bin/csh
useradd –s /bin/csh testuser
testuser將不可登錄
tail /var/log/secure
示例2
?模塊：pam_securetty.so
?功能：只允許root用戶在/etc/securetty列出的安全終端上登陸
?示例：允許root在telnet登陸
vim /etc/pam.d/remote（這個(gè)是跟遠(yuǎn)程登錄有關(guān)的模塊的配置文件）
#auth required pam_securetty.so #將這一行加上注釋
或者/etc/securetty文件中加入
pts/0,pts/1…pts/n
示例3
?模塊：pam_nologin.so
?功能：如果/etc/nologin文件存在,將導(dǎo)致非root用戶不能登陸眷篇，如果
用戶shell是/sbin/nologin 時(shí)萎河，當(dāng)該用戶登陸時(shí)，會(huì)顯
示/etc/nologin.txt文件內(nèi)容蕉饼，并拒絕登陸

6虐杯、pam_limits.so模塊

功能：在用戶級(jí)別實(shí)現(xiàn)對(duì)其可使用的資源的限制，例如：可打開的文件數(shù)量昧港，可運(yùn)行的進(jìn)程數(shù)量擎椰，可用內(nèi)存空間
修改限制的實(shí)現(xiàn)方式：
(1) ulimit命令，立即生效创肥，但無法保存
-n 最多的打開的文件描述符個(gè)數(shù)
-u 最大用戶進(jìn)程數(shù)
-S 使用soft（軟）資源限制
-H 使用hard（硬）資源限制
(2) 配置文件：/etc/security/limits.conf, /etc/security/limits.d/.conf前面的是總的配置文件达舒，可以把文件寫到后面的目錄里，只要格式跟前面的相同就可以
配置文件：每行一個(gè)定義叹侄；
<domain> <type> <item> <value>
<domain> 應(yīng)用于哪些對(duì)象
Username 單個(gè)用戶
@group 組內(nèi)所有用戶
所有用戶
<type> 限制的類型
Soft 軟限制,普通用戶自己可以修改
Hard 硬限制,由root用戶設(shè)定巩搏，且通過kernel強(qiáng)制生效
-二者同時(shí)限定
<item> 限制的資源
nofile 所能夠同時(shí)打開的最大文件數(shù)量,默認(rèn)為1024
nproc 所能夠同時(shí)運(yùn)行的進(jìn)程的最大數(shù)量,默認(rèn)為1024
<value> 指定具體值
示例

限制用戶最多打開的文件數(shù)和運(yùn)行進(jìn)程數(shù)
/etc/pam.d/system-auth
session required pam_limits.so
vim /etc/security/limits.conf
apache – nofile10240 apache用戶可打開10240個(gè)文件
student hard nproc20 不能運(yùn)行超過20個(gè)進(jìn)程