基于Pluggable Authentication Modules(可插入验证模块,简称PAM)的验证机制,可以系统特定应用程序的使用限制于root账户。不同的Module可以实现系统管理员按照用户、密码或者登入位置设置访问控制策略。

     PAM 所有的认证函数库存放于/lib/security/pam_*.so,并由/etc/pam.d/目录下对应的文件进行调用。在验证请求时,应用程序通过libpam函数库来提供服务。具体使用哪些PAM函数库进行验证,则由/etc/pam.d/目录下对应的设置文件决定。libpam 提供函数共享服务,而且可以动态载入。
1 PAM工作机制
/lib/security 目录下的每一个认证模块都会返回pass或者fail结果,部分程序使用/etc/security目录下的设置文件决定认证方式。应用程序调用PAM模块认证的配置,存放于/etc/pam.d,文件名与应用程序名对应,文件中的每一行都会返回一个成验证功还是失败的控制标志,以决定用户是否拥有访问权限。

2 PAM验证类型
   * auth 验证使用者身份,提示输入账号和密码
   * account 基于用户表、时间或者密码有效期来决定是否允许访问
   * password 禁止用户反复尝试登录,在变更密码时进行密码复杂性控制
   * session 进行日志记录,或者限制用户登录的次数
libpam函数库会可以调用以上一种服务或者全部。
3 PAM验证控制类型(Control Values)
验证控制类型也可以称做Control Flags,用于PAM验证类型的返回结果。
   * required 验证失败时仍然继续,但返回Fail(用户不会知道哪里失败)
   * requisite 验证失败则立即结束整个验证过程,返回Fail
   * sufficient 验证成功则立即返回,不再继续,否则忽略结果并继续
   * optional 无论验证结果如何,均不会影响(通常用于session类型)
4 /etc/pam.d目录中的配置文件
每一个配置文件均有四栏:第一栏验证类型,第二栏验证控制标准,第三栏调用的PAM模块,第四栏为使用的参数。
module_type control_flag module_location arguments
每一行记录均是一个阶段性的测试。
[root@wardking ~]# cat /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so
account     required      pam_unix.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so
password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
auth与account调用的模块直接影响到用户是否可以执行程序。
password是在用户更改密码时使用。
session用于记录用户验证成功以后的操作记录。

      第一部分表示,当用户登录的时候,首先会通过auth类接口对用户身份进行识别和密码认证。所以在该过程中验证会经过几个带auth的配置项。

其中的第一步是通过pam_env.so模块来定义用户登录之后的环境变量, pam_env.so允许设置和更改用户登录时候的环境变量,默认情况下,若没有特别指定配置文件,将依据/etc/security/pam_env.conf进行用户登录之后环境变量的设置。

然后通过pam_unix.so模块来提示用户输入密码,并将用户密码与/etc/shadow中记录的密码信息进行对比,如果密码比对结果正确则允许用户登录,而且该配置项的使用的是“sufficient”控制位,即表示只要该配置项的验证通过,用户即可完全通过认证而不用再去走下面的认证项。不过在特殊情况下,用户允许使用空密码登录系统,例如当将某个用户在/etc/shadow中的密码字段删除之后,该用户可以只输入用户名直接登录系统。

下面的配置项中,通过pam_succeed_if.so对用户的登录条件做一些限制,表示允许uid大于500的用户在通过密码验证的情况下登录,在Linux系统中,一般系统用户的uid都在500之内,所以该项即表示允许使用useradd命令以及默认选项建立的普通用户直接由本地控制台登录系统。

最后通过pam_deny.so模块对所有不满足上述任意条件的登录请求直接拒绝,pam_deny.so是一个特殊的模块,该模块返回值永远为否,类似于大多数安全机制的配置准则,在所有认证规则走完之后,对不匹配任何规则的请求直接拒绝。

      第二部分的三个配置项主要表示通过account账户类接口来识别账户的合法性以及登录权限。

第一行仍然使用pam_unix.so模块来声明用户需要通过密码认证。第二行承认了系统中uid小于500的系统用户的合法性。之后对所有类型的用户登录请求都开放控制台。    

      第三部分会通过password口另类接口来确认用户使用的密码或者口令的合法性。第一行配置项表示需要的情况下将调用pam_cracklib来验证用户密码复杂度。如果用户输入密码不满足复杂度要求或者密码错,最多将在三次这种错误之后直接返回密码错误的提示,否则期间任何一次正确的密码验证都允许登录。需要指出的是,pam_cracklib.so是一个常用的控制密码复杂度的pam模块,关于其用法举例我们会在之后详细介绍。之后带pam_unix.so和pam_deny.so的两行配置项的意思与之前类似。都表示需要通过密码认证并对不符合上述任何配置项要求的登录请求直接予以拒绝。不过用户如果执行的操作是单纯的登录,则这部分配置是不起作用的。

     第四部分主要将通过session会话类接口为用户初始化会话连接。其中几个比较重要的地方包括,使用pam_keyinit.so表示当用户登录的时候为其建立相应的密钥环,并在用户登出的时候予以撤销。不过该行配置的控制位使用的是optional,表示这并非必要条件。之后通过pam_limits.so限制用户登录时的会话连接资源,相关pam_limit.so配置文件是/etc/security/limits.conf,默认情况下对每个登录用户都没有限制。关于该模块的配置方法在后面也会详细介绍。

5 pam_stack特殊模块
当有多个应用程序需要使用相同的验证模块时,可以编辑一个pam设置文件,定义共同调用的模块,存储于/etc/pam.d目录中,供应用程序调用。例如system-auth设置文件,可以供不同的应用程序调用,如果对其进行修改,可以变更系统验证策略。
6 pam_unix模块
可以调用传统的NSS系统,即libnss函数库。可以用于PAM的四种验证方式,使用auth方式可以取得用户的密码,使用accont方式检查用户的密码是否已经过期,,使用password方式可以检查用户在修改密码时进行控制,使用session方式记录用户登录登出日志。
7 网络验证
可以通过网络登录方式来验证用户
   * pam_krb5(Kerberos V tickets)
   * pam_ldap(LDAP binds)
   * pam_smb_auth(old SMB authentication)
   * pam_winbind(SMB throuth winbind)
某些名称服务也可以通过pam_unix调用libnss函数库中的模块进行验证(NIS, Some LDAP configurations),而不一定使用以上的四个模块
8 认证模块
pam_securetty模块只会对root有影响。当root账户登录时,pam_security会参考/etc/securetty目录中的console列表,以决定root是否可以登录,避免用户从不安全的终端登录。
pam_nologin模块会确认/etc/nologin文件是否存在,如果存在,普通用户则会验证失败,只允许root用户登录。
pam_listfile模块会确认要求登录的用户账号与允许的账号名单是否冲突,必须建立一个允许登录或者拒绝登录的名单。
auth required pam_listfile item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
9 增强用户密码安全性
pam_unix有两个参数,可以增强用户密码安全性
   * pam_unix MD5 passwords 使用MD5编码进行加密
   * pam_unix shadow passwords 将加密后的密码存放于/etc/shadow文件中,并且限制普通用户访问,而且限制用户密码有效期
还有其它的模块可以起到类似作用,比如pam_krb5
10 密码安全性原则
可以定义普通用户设置密码时必须遵行一定的策略。
   * password history记录用户曾经使用过的密码
     pam_unix with remember=N (记录用户使用过的前N个密码,并且禁止再次使用这些密码)
   * pasword length 密码长度及复杂性
     pam_cracklib模块规定用户必须使用大小写字母、数字、特殊符号做为密码,而且不能是字典中的单词
     pam_passwdqc模块与cracklib类似,只是不检查字典中的单词
   * failed login monitoring 监控用户登录失败的次数
     pam_taily登录失败次数过多,则锁定账号
11 pam_limit
pam_limit 限制用户可以使用的系统资源,调用 /etc/security/limits.conf文件,限制用户使用的内存、可以启用多少线程
#*               soft    core            0
#*               hard    rss             10000
#@student        hard    nproc           20
#@faculty        soft    nproc           20
#@faculty        hard    nproc           50
#ftp             hard    nproc           0
#@student        -       maxlogins       4
可以使用ulimit覆盖soft设置项,但是仍然受限于hard
12 pam_console
pam_console模块:当用户登录到console后,将拥有部分特别权限。这些权限在/etc/security/console.apps目录中定义。
例如:用户登录后拥有重新启动计算机的权限
[root@wardking ~]# cat /etc/security/console.apps/reboot
FALLBACK=true
也可以用在auth验证类型中,用户在本地成功登录后,就会拒绝其它远程登录请求。
13 其它程序调用PAM
除用户登录验证以外,在普通用户使用系统管理工具时,也需要提供验证,例如su, reboot, system-*工具等。
pam_rootok模块用来确认用户是否是root身份
pam_timestamp模块用于记录用户执行sudo的时间间隔,如果在5分钟之内验证成功,则直接通过验证,而不再需要输入密码
pam_xauth模块用于将验证的临时文件转发给其它程序
14 实例分析
[root@wardking ~]# cd /etc/pam.d
[root@wardking pam.d]# cat config-util
#%PAM-1.0
auth            sufficient      pam_rootok.so
auth            sufficient      pam_timestamp.so
auth            include         system-auth
account         required        pam_permit.so
session         required        pam_permit.so
session         optional        pam_xauth.so
session         optional        pam_timestamp.so
/etc/pam.d/config-util是一个pam_stack类型的特殊模块,提供给system-config-*等多个应用程序共同调用。
auth sufficient pam_rootok.so
这一条命令将检查用户的身份,调用pam_rootok.so模块,如果被验证的用户是root,则返回Pass。如果不是root用户,则返回Fail。由于此条命令使用sufficient控制标志,即使验证失败也将执行后续命令。
auth sufficient pam_timestamp.so
如果第一条命令验证失败,则可以断定当前被验证用户是普通用户。因此在第二条命令中使用pam_timestamp.so模块,检查该用户是否在5 分钟之内成功运行了sudo命令,如果是返回Pass,否则返回Fail。这条命令同样使用了sufficient控制标志,因此在验证失败时仍将执行后续命令。
auth include system-auth
第三条命令使用pam_stack.so模块,调用当前目录下的system-auth配置文件。system-auth定义了较多的PAM命令语句,其主要作用是提示普通用户输入root账号的密码。
account required pam_permit.so
第四条命令以account类型调用pam_permit.so模块,基于当前账户的有效性(账户是否禁用或者过期)来允许或者拒绝访问。由于该条命令以required控制标志执行,如果验证结果仍然Fail,则整个过程验证失败。
最后三条session命令,将对整个验证过程进行日志记录,写入到/var/log/secure中。
15 故障检测
当系统验证出现问题时,首先应当检查/var/log/messages或者/var/log/secure中的输出信息,根据这些信息判断用户账号的有效性。如果是因为PAM验证故障,而引起root也无法登录,只能使用single user或者rescue模式进行排错。