第一次出色的表演

1、Linux PAMfrom the System Administrators perspective張耀中 .tw交通大學資訊科學系系計算機中心交通大學資訊科學系 系計算機中心22021/12/31Outlinen什麼是PAM?nPAM的基本組成元件nPAM在Linux上的設定方式n支援PAM的應用程式設定範例n參考資料交通大學資訊科學系 系計算機中心32021/12/31什麼是PAM？(1/3)nPAM 為Pluggable Authentication Module的簡稱n傳統UNIX上應用程式的認證機制 Loginlogin: gis92xxxpa

2、ssword:Authenticationschemeshellapplicationusers交通大學資訊科學系 系計算機中心42021/12/31什麼是PAM？(2/3)n應用程式引用PAM之後的認證過程LoginLinux PAMshelluserauthacctpasswordsessionlogin auth a.sologin auth b.soa.sob.soapplicationfunctioncalls交通大學資訊科學系 系計算機中心52021/12/31什麼是PAM？(3/3)n使用PAM帶來什麼好處?應用程式處理認證的部份被抽離n交給Linux PAM透過Linux PA

3、M可以自訂化不同的認證方式nDES, MD5, Novell database, NT database and etc.應用程式不需要重新編譯即可享用PAM帶來的便利性n但是應用程式必須使用PAM所提供的API交通大學資訊科學系 系計算機中心62021/12/31PAM的基本組成元件n認證模組在Linux下, 放置在/lib/security的目錄下npam_*.so可堆疊 (stacked)n設定檔放置在/etc/pam.d/下, 或是/etc/pam.confn支援PAM的應用程式判斷是否支援PAM: ldd nlinking with /lib/libpam.so.x and /lib

4、/libpam_misc.so.x交通大學資訊科學系 系計算機中心72021/12/31PAM在Linux上的設定方式 (1/4)n修改 /etc/pam.conf 或是/etc/pam.d/基本形式service-name module-type control-flag module-path args 如果設定檔為/etc/pam.d/, service-name則不用寫nservice-name通常跟應用程式同名, OTHER為保留字,如果支援PAM的應用程式service-name沒列舉在上面, 則OTHER相關的設定適用之, 否則忽略su auth required /lib/se

5、curity/pam_wheel.so use_uid交通大學資訊科學系 系計算機中心82021/12/31PAM在Linux上的設定方式 (2/4)nmodule-type 認證過程主要的四個部份auth 提供實際的認證過程n提示輸入使用者名稱、密碼account 和授權無關的工作n根據時間、地點、系統資源來決定成功與否password 更改授權資料的方式session 一些前置或是後置工作n記錄log 、掛上某些檔案系統等等交通大學資訊科學系 系計算機中心92021/12/31PAM在Linux上的設定方式 (3/4)ncontrol-flags用來決定此模組失敗或成功後的動作常用的三種c

6、ontrol-flagsnrequired- 如果失敗會繼續執行堆疊的模組，最後才將錯誤傳回應用程式nrequisite- 如果失敗會立即中止整個認證流程nsufficient - 如果這個模組成功則不執行後面的堆疊模組但如果之前的模組是required 並且失敗的話sufficient成功的結果會被忽略交通大學資訊科學系 系計算機中心102021/12/31PAM在Linux上的設定方式 (4/4)nmodule-path模組所在的路徑n/lib/security/pam_deny.sonargs給模組的參數如果包含space須用括號之nsquid auth required pam_mys

7、ql.so user=passwd_query passwd=mada db=eminence query=select user_name from internet_service where user_name=%u and password=PASSWORD(%p) and service=web_proxy 交通大學資訊科學系 系計算機中心112021/12/31支援PAM的應用程式設定範例(1/3)nCase 1: 限制root使用useradd的IP來源1. vi /etc/pam.d/useraddauth sufficient /lib/security/pam_rootok

8、.soauth required /lib/security/pam_permit.soaccount required /lib/security/pam_stack.so service=system-authaccount required /lib/secuirty/pam_access.sopassword required /lib/security/pam_permit.so2. vi /etc/security/access.conf-:root:ALL EXCEPT # root只能從來自的IP新增使用者交通大學資訊科學系 系

9、計算機中心122021/12/31支援PAM的應用程式設定範例(2/3)nCase 2:檢查使用者所更改的密碼1. vi /etc/pam.d/passwdpassword sufficient /lib/security/pam_cracklib.so retry=3password required pam_unix.so no_warn try_first_pass nullok# 會對使用passwd更改密碼的使用者做”非強制性”的密碼可用度檢查, 例如密碼長度, 是否過度簡單交通大學資訊科學系 系計算機中心132021/12/31支援PAM的應用程式設定範例(3/3)nCase 3:紀錄更改過密碼的使用者1. vi /etc/pam.d/passwdpassword sufficient /lib/security/pam_cracklib.so retry=3password required /lib/security/pam_warn.so password required /lub/security/pam_unix.so n