最新要闻
- 快递电子运单调查|半数快递面单未隐藏消费者个人信息
- 环球最资讯丨在地球上 我们也有了“空间站”!全球首创
- “该有的一个也不能少”!理想ONE迎来OTA升级 新增任务大师等功能
- 1万4都拿不出来?威马汽车成失信被执行人 创始人沈晖被限高
- 全面超越特斯拉Model 3 广汽昊铂Hyper GT正式上市:21.99万起 报资讯
- 今亮点!《最终幻想16》偷盘哥后续:是个学生 证据确凿但还在嘴硬
- 泰尔股份:公司的激光产品及服务广泛应用于船舶制造、工程机械、钢结构等_当前消息
- 潼南民生村镇银行:金融助力 小葡萄“串”起致富路|今日热闻
- 世界今亮点!国产第三大晶圆代工厂晶合集成:持续提升55nm产能 40nm高压获重大成果
- 焦点!仅重500g搭载7840U!GPD新Win掌机真机现身
- 百事通!新卡来得很慢 老卡走得很快!AMD ROCm开发平台放弃Vega
- 宝马i3销量暴增 降价十万的“油改电”到底香不香 百事通
- 天天热推荐:墨西哥一市长连续2年与鳄鱼结婚:如此联姻当地已存在230年
- 渭南:纳凉晚会话交安
- 网红经济学家任泽平新动向!朋友圈宣称转型美妆博主,宣传话术暗藏玄机 环球热消息
- 三星独家手机支付技术 Galaxy手机更新后封杀MST:我国早已淘汰 天天热议
手机
光庭信息跌4.57% 2021上市超募11亿2022扣非降74% 时快讯
搜狐汽车全球快讯 | 大众汽车最新专利曝光:仪表支持拆卸 可用手机、平板替代-环球关注
- 光庭信息跌4.57% 2021上市超募11亿2022扣非降74% 时快讯
- 搜狐汽车全球快讯 | 大众汽车最新专利曝光:仪表支持拆卸 可用手机、平板替代-环球关注
- 视点!美国首位女总统即将诞生?拜登恐怕要提前下岗,美政坛迎来变局?
- 当前速递!用理想仪器实现更好的颗粒 德国新帕泰克亮相CPHI & PMEC China获好评
- 微粒贷怎么申请开通 开通方法如下
- 焦点简讯:心疼!这位40岁的云南缉毒警,已是满头白发
家电
世界焦点!Linux下PAM认证详解(以centos7为例)
Linux下PAM认证详解(以centos7为例)
PAM简介(Pluggable Authentication Modules,可插拔认证模块)
Sun公司于1995年开发的一种与认证相关的通用框架机制:PAM(可插拔认证模块)是实现认证工作的一个模块。 因为每个服务都用到不同的认证方式,所以就需要不同的认证库。 认证库有文本文件,MySQL数据库,NIS ,LDAP等,这些库所对应的系统模块位于/lib64/security/目录下的所有库文件(以".so"后缀的文件)。 PAM是关注如何为服务验证用户的API(应用程序接口),通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开。 使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式,而无需更改服务程序。 PAM是一种认证框架,自身不做认证。 PAM提供了对所有服务进行认证的中央机制,适用于login ,远程登录(telnet,rlogin,fsh,ftp, 点对点协议(PPP )),su等应用程序中。 系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略。 应用程序开发者通过在服务程序中使用PAM API(pam_xxxx( )) 来实现对认证方法的调用。 PAM 服务模块的开发者则利用PAM SPI来编写模块(主要是引出一些函数pam_sm_xxxx( ) 供PAM 接口库调用),将不同的认证机制加入到系统中。 PAM 接口库(libpam )则读取配置文件,将应用程序和相应的PAM 服务模块联系起来 。
PAM架构
PAM认证原理
PAM认证一般遵循这样的顺序:Service(服务)→PAM(配置文件)→pam_*.so。
PAM认证首先要确定那一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证。认证原理图如下图所示:
(资料图片仅供参考)
PAM 认证过程
1)使用者执行/usr/bin/passwd程序,并输入密码。
2)passwd开始呼叫PAM模块,PAM模块会搜寻passwd程序的PAM 相关设定文件,这个设定文件一般是在/etc/pam.d/里边的与程序同名的文件 ,即PAM 会搜寻/etc/pam.d/passwd这个设置文件。
3)经由/etc/pam.d/passwd 设定文件的数据,取用PAM 所提供的相关模块来进行验证。
4)将验证结果回传给passwd 这个程序,而passwd 这个程序会根据PAM回传的结果决定下一个动作(重新输入密码或者通过验证)
PAM的配置文件
1)pam的配置文件当中为每种应用定义其需要用到的模块,包括驱动、授权机制等。2)配置文件模块文件目录:/lib64/security/*.so模块配置文件:/etc/security/*.conf环境相关的设置:/etc/security/主配置文件:/etc/pam.conf ,默认不存在。次级配置文件目录:/etc/pam.d/,该配置文件目录下的每个配置文件都对应一个应用模块的专用配置文件注意:如/etc/pam.d 存在,/etc/pam.conf 将失效3)模块通过读取模块配置文件完成用户对系统资源的使用控制4)注意:修改PAM 配置文件将马上生效5)建议:编辑pam规则时 ,保持至少打开一个root会话,以防止root 身份验证错误6)通用配置文件/etc/pam.conf 格式application 、type 、control 、module-path 、module-arguments7)专用配置文件/etc/pam.d/* 格式type、control、module-path、module-arguments8)说明:1》tyoe(功能,模块类型):包括auth,account,password,session。auth:认证和授权;account:与账号管理相关的非认证功能;password:用户修改密码时使用;session:用户获取到服务前后使用服务完成后要进行的一些附属性操作-type:表示因为缺失而不能加载的模块将不记录到系统日志, 对于那些不总是安装在系统上的模块有用2》control:pam如何处理与该服务相关的pam的成功或失败情况?同一种功能的多个检查之间如何进行组合?有两种实现机制。1.使用一个关键词来定义:required(必填):一票否决,表示本模块必须返回成功才能通过认证,但是如果该模块返回失败,失败结果也不会立即通知用户,而是要等到同一type中的所有模块全部执行完毕再将失败结果返回给应用程序。 必要条件requisite(必要):一票否决,该模块必须返回成功才能通过认证,但是一旦该模块返回失败,将不再执行同一type 内的任何模块,而是直接将控制权返回给应用程序。必要条件sufficient(足够):一票通过, 表明本模块返回成功则通过身份认证的要求,不必再执行同一type内的其它模块,但如果本模块返回失败可忽略。充分条件optional(可选项):表明本模块是可选的,它的成功与否不会对身份认证起关键作用,其返回值一般被忽略include(包括):使用其他配置文件中同样功能的相关定义来进行检查2.使用一到多组“return status=action”来定义;[status1=action1 status2=action2....]status:指定此项检查的返回值,其可能的取值有多种。如success。action:采取的操作,其可能的取值常用的有6种,如ok,done,die,ignore,bad,reset。ok 模块通过,继续检查done 模块通过,返回最后结果给应用bad 结果失败,继续检查die 结果失败,返回失败结果给应用ignore 结果忽略,不影响最后结果reset 忽略已经得到的结果3》module-path:模块路径,用来指明本模块对应的程序文件的路径名。相对路径绝对路径4》module-argument:模块参数,用来传递给该模块的参数。pam_unix.so:nullok:允许使用空密码;try_first_pass:提示用户输入密码之前,首先检查此前栈中已经得到的密码;pam_env.so:通过配置文件来为用户设定或撤销环境变量,/etc/security/pam_env.confpam_shells.so:检查用户使用的是否为合法shell,/etc/shellspam_limits.so:资源限制,/etc/sercurity/limits.conf ;/etc/sercurity/limits.d/*
安全等保常用的PAM配置文件
/etc/pam.d/password-auth 和 /etc/pam.d/system-auth 文件,对于pam认证的安全配置大多在这两个文件上进行修改。
注意:修改PAM 配置文件将马上生效。建议:编辑pam规则时 ,保持至少打开一个root会话,以防止root 身份验证错误,对于修改完的pam文件及时验证root登录正确性。
已知情况:一般pam规则修改不正确,登录时会出现 su:Module is unknow、su: Permission denied
PAM文档
/usr/share/doc/pam-*rpm -qd pamman –k pamman 模块名,如man rootok《The Linux-PAM System Administrators" Guide》
限制的实现方式
共有3种方式:1)通过ulimit命令2)在/etc/security/limits.d/目录下创建限制文件来实现3)修改/etc/pam.d/目录下的配置文件,这是使用pam模块来实现的1)ulimit 命令,修改shell资源的限制,立即生效,但无法保存。ulimit-Modify shell resource limits.ulimit [-SHacdefilmnpqrstuvx] [limit]Options:-S使用软资源限制-H使用硬资源限制-a所有当前限制的报告-b套接字缓存尺寸-c最大的核心文件创建尺寸-d最大程序的数据分割尺寸-e最大的调度优先级(`nice")-f被shell及其子进程写入文件的最大尺寸-i最大待定信号的数值-l进程可能锁定到内存的最大尺寸-m最大驻留设置尺寸-n最大打开文件描述符的数值-p管道缓存尺寸-qPOSIX 消息队列中的最大字节数-r最大实时调度优先级-s最大堆尺寸-tcpu 时间的最大值 (以秒为单位)-u用户进程的最大值-v虚拟内存的尺寸-x文件锁定的最大数值-n 最多的打开的文件描述符个数-u 最大用户进程数-S 使用 `soft" (软)资源限制-H 使用 `hard" (硬)资源限制2)创建限制文件:/etc/security/limits.conf:说明文件,也可以直接在这里面进行定义!/etc/security/limits.d/*.conf:限制文件,每行一个定义;限制文件中的限制语法为: -
:应用于哪些对象username 单个用户@group 组内所有用户*所有用户:限制的类型Soft 软限制, 普通用户自己可以修改Hard 硬限制, 由root用户设定,且通过kernel强制生效- 二者同时限定- :限制的资源nofile 所能够同时打开的最大文件数量, 默认为1024nproc 所能够同时运行的进程的最大数量, 默认为1024...
:指定item所对应的具体值3)修改/etc/pam.d/目录下的配置文件使用PAM模块实现:1》模块:pam_shells功能:检查有效shellman pam_shells示例:不允许使用/bin/csh 的用户本地登录vim /etc/pam.d/loginauth required pam_shells.sovim /etc/shells去掉 /bin/cshuseradd –s /bin/csh testusertestuser 将不可登录tail /var/log/secure2》模块:pam_securetty.so功能:只允许root 用户在/etc/securetty 列出的安全终端上登陆示例:允许root 在telnet 登陆vi /etc/pam.d/login#auth required pam_securetty.so # 将这一行加上注释或者/etc/securetty 文件中加入pts/0,pts/1…pts/n3》模块:pam_nologin.so功能: 如果/etc/nologin 文件存在, 将导致非root用户不能登陆,如果 用户shell 是/sbin/nologin 时,当该用户登陆时,会显示/etc/nologin.txt 文件内容,并拒绝登陆4》模块:pam_limits.so功能:在用户级别实现对其可使用的资源的限制,例如:可打开的文件数量,可运行的进程数量,可用内存空间,最多打开的文件数和运行进程数。vim /etc/pam.d/system-authsession required pam_limits.sovim /etc/security/limits.confapache – nofile 10240apache用户可打开10240个文件student hard nproc 20 不能运行超过20个进程
参考连接:https://www.cnblogs.com/shenxm/p/8451889.html
关键词:
世界焦点!Linux下PAM认证详解(以centos7为例)
快递电子运单调查|半数快递面单未隐藏消费者个人信息
环球最资讯丨在地球上 我们也有了“空间站”!全球首创
“该有的一个也不能少”!理想ONE迎来OTA升级 新增任务大师等功能
1万4都拿不出来?威马汽车成失信被执行人 创始人沈晖被限高
全面超越特斯拉Model 3 广汽昊铂Hyper GT正式上市:21.99万起 报资讯
今亮点!《最终幻想16》偷盘哥后续:是个学生 证据确凿但还在嘴硬
泰尔股份:公司的激光产品及服务广泛应用于船舶制造、工程机械、钢结构等_当前消息
Linux设置字符编码 全球快播
视觉冲击力!水球图让数据一览无余_世界新消息
潼南民生村镇银行:金融助力 小葡萄“串”起致富路|今日热闻
世界今亮点!国产第三大晶圆代工厂晶合集成:持续提升55nm产能 40nm高压获重大成果
焦点!仅重500g搭载7840U!GPD新Win掌机真机现身
百事通!新卡来得很慢 老卡走得很快!AMD ROCm开发平台放弃Vega
宝马i3销量暴增 降价十万的“油改电”到底香不香 百事通
天天热推荐:墨西哥一市长连续2年与鳄鱼结婚:如此联姻当地已存在230年
渭南:纳凉晚会话交安
每日速讯:Mybatis-Plus的详细使用
天天百事通!华为扫地僧:揭秘IoT+鸿蒙帮助企业突围物联网安全问题
【新华500】新华500指数(989001)3日涨1.28% 全球热点
网红经济学家任泽平新动向!朋友圈宣称转型美妆博主,宣传话术暗藏玄机 环球热消息
三星独家手机支付技术 Galaxy手机更新后封杀MST:我国早已淘汰 天天热议
盲订超过2万台!比亚迪腾势N7即将上市 今晚21:30开启大定 独家
红魔魔灵电竞机械键盘官宣:自研主控芯片 1ms超低延迟
你做对了吗?自动扶梯上禁止行走 赶时间请走楼梯 最新
当前焦点!马斯克一年坐私人飞机超24万公里 华为李小龙:没我多
2023年椰子油行业统计数据分析:全球椰子油产量为3.51百万吨 环球今日讯
当前关注:援外日记丨在利比里亚 我们从朋友变成了兄弟姐妹
每日热点:RTX 4090烧毁无算!万恶的12VHPWR 16针接口终于要淘汰了
焦点播报:越南高考中文题曝光引热议 网友:难度不大
北大清华成才率中国最差 毁了一半人!俞敏洪称不能把人生寄托在考名牌大学上
热推荐:或为问界新LOGO:华为申请WENJIE图文商标
上海豪宅1.58亿成交 买家身份曝光:虎扑/得物创始人 身家百亿 全球最新
每日时讯!福州的成功之道
Jmeter之二_JSR223取样器,断言等添加失败的解决办法
每日速讯:科比5代多少钱_科比5代增高多少
你怎么看?21%的韩国人支持收单身税 有网友支持交 国家才能存续_环球观天下
环卫工儿子高考687分报考上海交大:关注科研 梦想攻克“卡脖子”技术|天天聚看点
全球快资讯:部分人大学生信息被非法获取,北京警方:一名毕业生被刑拘
避坑:.NET内存泄露的几种情况 每日热文
世界速讯:中国人民解放军海军博物馆预约规则
谁能想到!“白娘子”施法手势居然是赵雅芝自己设计的|世界微动态
性感掀背小翘臀!奔驰全新双门轿跑来了:CLE Coupe即将亮相 全球视讯
快讯:搭载骁龙8 Gne2稳了:三星Galaxy Z Fold5现身Geekbench数据库
俄罗斯2032年建成新一代空间站 届时国际空间站已坠毁|天天通讯
【环球新要闻】网页直播源码知识分享:“直播卫士”,查杀病毒功能在此!
环球百事通!芋泥香酥棒如何做 偷偷藏不住芋泥香酥鸭好吃不 基本情况讲解
多款新品汇聚2023MWC,AAC声光触XR全栈式解决方案成焦点 快报
韩国知名职业玩家怒批《星空》没韩语:太看不起人! 今日热议
网友自制进口豪华车国内外售价对比榜:只有特斯拉不割国人韭菜 头条
人大毕业生盗取学校学生信息建颜值打分网站 官方通报来了
天天头条:红魔首款电竞平板屏幕确定:144Hz高刷大屏 适配原生144帧游戏
谁家客户最满意?理想重回用户推荐度榜首、问界严重下滑
欧几里得空间望远镜升空 探索宇宙暗物质和暗能量
天天亮点!狂收 3K Star!一个高性能、无侵入的 Java 性能监控和统计工具,十分强悍!
【环球报资讯】Linux下轻松修改MySQL/MariaDB的Root密码
世界新动态:自学Python之路-django模板--模板继承
Linux磁盘操作:分区、格式化、挂载
2.1 Prometheus组件_观天下
世界新消息丨原来店铺照片可以造假?你点的外卖,可能来自“幽灵餐厅”
四大家电合一!石头智能洗地机A10 UltraE图赏
当前报道:微型车市场改写!比亚迪海鸥热销2.3万台:本田飞度彻底没活路
苹果MR头显未规划遥控器:主打手控和眼控
16GB再见 128GB内存满上的感觉有多爽?实测来了|全球新视野
41年大牌显卡厂商Sparkle投身Intel:三款Arc显卡开卖 千元起步
沪深股通|山推股份6月30日获外资买入0.12%股份-世界时讯
焦点速看:前端Vue自定义可自由滚动精美tabs选项卡标签栏标题栏 可设置背景颜色,
【工程报告】编程技术项目报告【编号:网页01号】
创世纪(300083.SZ):钻铣加工中心已累计出货超过90000台,成功入选2022年国家制造业单项冠军产品|环球动态
Twitter (TWTR.US) 阅读限制引发混乱,马斯克辩称是为了保护用户数据安全_每日快看
国产S80太阳能滑板车亮相:最短晒7小时充满电 可跑35公里
比亚迪高端MPV腾势D9 6月大卖超1.1万辆:连拿半年销量第一_世界今日报
0糖0卡0脂 5年福鼎老白茶:福鼎原煮白茶2.3元/瓶大促
全球聚焦:卷上天!上海交大博士应聘中学保健员 复旦附中回应
新疆哈密遭沙尘袭击 “百米沙墙”进城!附个人防沙方法
木薯资源7月3日上午起停牌 原因未知-即时
Shopee面经总结
最高检发布湿地保护公益诉讼典型案例
降价太香!特斯拉二季度交付超46.6万辆:Model 3/Y卖爆-天天快播
马斯克回应限流推特:离手机远点 多陪陪朋友和家人|天天通讯
五旬女子被喊阿姨拒买单索赔2000 服务员道歉还打折:网友感慨不能理解
快消息!留有生机!ASML官网显示:支持7nm高端DUV光刻机仍可出口
读发布!设计与部署稳定的分布式系统(第2版)笔记17_中间件、背压和调速器_焦点热闻
中央气象台发布暴雨蓝色预警 11省区市将现大到暴雨
加大债券非市场化发行监管力度
A股半年报披露将于7月中旬拉开帷幕
环球即时:【读财报】基金半年透视:上半年新发规模同比下降22.55% 招商基金、博时基金等近百只产品延募
当前快报:你还有理由不升吗?微软曝光Windows 12:设计更高级 新浮动任务栏
男生看完《消失的她》后共情大哭 女友心疼称其太善良:网友热议
天天热推荐:菌中之冠!鸡枞菌因气候减产200多元一斤 十年涨十倍:你吃过吗
25.98万起!余承东力荐全新问界M5标准版:跑长途不用充电加油
天天热议:围墙挡景?这一景区,500米“安全墙”拆了!
环球聚焦:张雪峰出院:这段时间网上很多关于我的传言都是假的
全球快讯:【项目报告】编程技术刷题报告【编号:刷题01号】
环球今头条!巴西前总统罗塞夫:中国的脱贫工作令人惊艶
环球聚焦:Intel新至强又有新接口了!功耗可达350W
巴西男子中风后患神秘“慷慨病”:给不认识的人大肆送钱-环球视点
2TB SSD还不到500块!背后的故事挺复杂 长江存储只是其一
验证码越来越抽象 我快不能证明自己是人类了|环球短讯
天天时讯:第35届莲花节开幕,“惊鸿”领衔千种莲荷争相绽放!