大家好,关于PAM的使用,有的接触不到,他们配置的地方也不是经常出现,这是我的学习笔记,想分享给大家,有些地方逻辑性很强需要多看我基本上都有注释。
PAM 身份验证 及插即用 验证 模块
[root@xu /]# ldd /usr/sbin/sshd --------查看一个程序在运行的时调用那些库文件
[root@xu /]# ldd `which sshd` | grep pam
libpam.so.0 => /lib/libpam.so.0 (0x008ae000)
[root@xu /]# ls /lib/security/------pam所有功能插件
[root@xu /]# ls /etc/pam.d/-------一个程序使用什么pam模块 怎么使用都在这里
[root@xu /]# firefox /usr/share/doc/pam-0.99.6.2/html/Linux-PAM_SAG.html -----pam的配置手册
6.11 是用方法
6.25 是限制 描述
6.6 设置环境变量
-----------------------------
以login 为例子 怎么用的pam
pam 的难点 前俩列的关系
一个用户能不能验证成公 能不能登录进去 取决于前俩个 (auth account )
日志信息
tail -f /var/log/secure
第一列
auth ---- 管理用户名密码
account ---- 除用户名密码以外的对登录起取决性的其他因素条件(列如 某个时间断 某个网段)
password ----当用户对密码进行操作的时候用到他 (不该密码就没他什么事情)
session------- 进行会话的时候用到的 (当我打开一个程序的时候相当于建立了一次连接会话)
第二列
required ------ 必要条件 针对模块(模一个条件必须要成功,如果失败了 还继续往下执行,但是最终百分之百失败)
requisite----- 必要条件 针对模块(模块必须验证成功 如果失败了 ,停止验证 如果成功 继续走,看以后的 )
sufficient----- 充分条件 针对模快(如果一个模块成功 立即返回成功 如果失败 (忽略不计对最终结果不受影响))
otional--- - 可选条件 针对模块 (不管模块验证成功 失败 对最终结果没有影响)
include-------包含条件 针对文件( 不同模块调用相同的条件 把条件作一个公共文件) 跳过来之后只读相同类型的
-------------------------------------------
[root@xu ~]# cat /etc/shadow | grep user1
user1:!$1$hSYfRFbq$ST2mHoyu38nnvPx/kDMv90:15781:0:99999:7:::
auth 管的是前俩列
account 管的是 后面的
-----------------------------------------
第三行 模快 (第三行没有跳转的就是模块在手册里查是什么功能 如果跳转了就去看跳转的那个公共文件里对应的模块是什么功能)
login 配置文件里的模块
pam_securetty.so 安全的tty模块 -------对应的配置文件vim /etc/securetty 只有这里的终端 才是安全的终端
pam_nologin.so 阻止非管理员登录的模块 --- touch /etc/nologin 文件 所有普通帐号就不能登录
pam_access.so 访问控制模块
pam_time.so 时间控制模块
pam_echo.so 打印文本信息
auth 跳转文件里的模块
pam_env.so 设置环境变量模块 -------对应的配置文件 vim /etc/security/pam_env.conf 在这里设置环境变量
pam_unix.so 验证用户名密码模块 --pam核心模块负责passwd 找用户名 在shadow 里找密码的模块,在这里他验证的是前面的两行
pam_succeed_if.so uid >= 500 quiet(安静模式 不记录到日志) 判断是否成功的模块 判断uid 是否大于等于500
pam_deny.so 永远拒绝模块
account 跳转文件里的模块
pam_unix.so 验证用户名密码模块 ------这里他验证的是后面的
pam_permit.so 永远允许的模块
-------------------------------------------
login 的pam配置文件
[root@xu /]# vim /etc/pam.d/login
1 #%PAM-1.0
未知用户忽略
2 auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securett(模块) y.so--以前的语法 必要条件
第一行只针对管理员模块 只针对管理员生效 模块不会验证普通用户vim /etc/securetty----只有这里的终端 才是安全的终端
3 auth include system-auth(公共文件) 跳转 vim /etc/pam.d/system-auth 里对应的配置
4 account required pam_nologin.so 必要条件 这个模块让你找 touch /etc/nologin 文件 所有普通帐号不能登
5 account include system-auth 继续跳转 vim /etc/pam.d/system-auth 里caaount对应的文件
6 password include system-auth
7 # pam_selinux.so close should be the first session rule
8 session required pam_selinux.so close
9 session optional pam_keyinit.so force revoke
10 session required pam_loginuid.so
11 session include system-auth
12 session optional pam_console.so
13 # pam_selinux.so open should only be followed by sessions to be executed in the user context
14 session required pam_selinux.so open
----------------------------
[root@xu ~]# vim /etc/pam.d/system-auth
1 #%PAM-1.0
2 # This file is auto-generated.
3 # User changes will be destroyed the next time authconfig is run.
4 auth required pam_env.so --------环境变量
5 auth sufficient pam_unix.so nullok try_first_pass -pam_nologin.so-第一次输入密码以后 往后第二次在验证他会尝试输入第一次的密码
6 auth requisite pam_succeed_if.so uid >= 500 quiet 安静
7 auth required pam_deny.so 拒绝模块
8
9 account required pam_unix.so --------只管 shadow 的前俩列
10 account sufficient pam_succeed_if.so uid < 500 quiet
11 account required pam_permit.so
12
13 password requisite pam_cracklib.so try_first_pass retry=3
14 password sufficient pam_unix.so md5 shadow nullok try_first_pass use_a uthtok
15 password required pam_deny.so
16
17 session optional pam_keyinit.so revoke
18 session required pam_limits.so
19 session [success=1 default=ignore] pam_succeed_if.so service in crond qu iet use_uid
20 session required pam_unix.so
--------------------------
用户不需要密码
[root@xu /]# vim /etc/pam.d/login
设置用户名密码 如果成功直接通过 这个模块
2 auth sufficient pam_permit.so
7account sufficient pam_permit.so
---------------------------------
pam_access.so 访问控制模块
每个模块最后有这个提示
6.1.4. MODULE SERVICES PROVIDED
All services are supported. ---------旨的是auth account passwd session这里面都支持这个模块
vim /etc/pam.d/login
4 auth requisite pam_access.so
+代表 授权访问 -代表拒绝访问
vim /etc/security/access.conf
-: user1 : tty3
-: all : 192.168.1.0
----------------
pam_time.so 时间控制模块
vim /etc/pam.d/login
9 account required pam_time.so
格式
services;ttys;users;times
[root@xu /]# vim /etc/security/time.conf
login ; tty3 ; user1 ; al0100-0200 user1 1点到两点才能登录
login ; tty3 ; user1 ; all
sshd ; * ; * ; al0100-0200
------------
pam_echo.so 打印文本信息
[root@xu ~]# cat > hello.txt <<EOF
> eeeeeeeeeeeee
> EOF
vim /etc/pam.d/login
4 auth optional pam_echo.so file=/root/hello.txt
-------------------------
注意 顺序问题 优先第一个起作用
模块是否支持
前两类的关系
