网络操作系统_06

1、第6章 服务配置与管理Linux服务管理PAM认证TCPWrappers与xinetd访问控制主机防火墙6.1 Linux服务管理服务与守护进程的概念Linux网络服务定义文件/etc/services 文件格式 端口范围 作用：记录标准端口设置和服务名（可用于配置文件参数）Linux服务启动脚本 服务启动脚本目录：/etc/rc.d/init.d 运行级别 /etc/rc.d/rcN.d 符号链接的命名规则 启动脚本的运行顺序P191手动执行服务启动脚本 init.d脚本 service命令配置服务启动状态 chkconfig 常用参数 实质：改变符号链接 实例：修改level3的vsftp

2、服务 ntsysv 文本交互界面 配置当前级别下系统启动时服务是否自动启动使用图形界面工具管理服务停用不必要的服务 查看当前正在运行的服务chkconfig/service的替代品：systemctl systemctl是systemd的一部分，systemd是由Lennart Poettering带头开发，旨在取代传统的init的软件；饱受争议的同时逐渐为各大发行版所采用； Fedora16之后都使用systemctl来取代chkconfig/service，原有命令依然存在； 新老命令的对比：6.2 PAM认证PAM概述 PAM认证机制的提出 身份验证的发展 各种验证方案的缺点：实现鉴别功

3、能的代码通常作为应用程序的一部分而一起编译，缺乏灵活性 1995年，SUN提出PAM认证机制，使具体认证过程的实现和应用程序相对独立 PAM的体系结构 PAM 为了实现其插件功能和易用性，它采取了分层设计思想：让各鉴别模块从应用程序中独立出来，然后通过PAM API作为两者联系的纽带，这样应用程序就可以根据需要灵活地在其中“插入”所需鉴别功能模块，从而真正实现了“鉴别功能，随需应变”，其体系如下图： PAM API 起着承上启下的作用，它是应用程序和鉴别模块之间联系的纽带：当应用程序调用 PAM API 时,应用接口层按照配置文件 pam.conf 的规定，加载相应的鉴别模块。然后把请求（即从

4、应用程序那里得到的参数）传递给底层的鉴别模块,这时鉴别模块就可以根据要求执行具体的鉴别操作了。当鉴别 模块执行完相应操作后，将结果返回给应用接口层，然后由接口层根据配置的具体情况将来自鉴别模块的应答返回给应用程序。 （参P194） PAM认证的优势 可以独立为各种服务/应用程序提供各种认证方案 为管理员和程序员在进行用户认证处理时提供灵活性 提供统一的认证接口 PAM认证的应用 PAM已经是Linux系统最主要的安全认证模式 本地账户的局限性和缺点 PAM模块 不同的认证方法和功能，通过不同的PAM模块实现 PAM模块实际上是.so的动态链接库，位于/lib/security目录下，可根据需要

5、动态的添加、删除、修改 实际需求中，有时候不仅要验证口令，可能要求验证用户的帐户是否已经过期、记录日志等，所以 PAM 在模块层除了提供鉴别模块外，同时提供了支持帐户管理、会话管理以及口令管理功能的模块，四类模块功能如下： auth：认证模块 account：账户管理模块，如是否运行登录、是否过期等 session：会话管理模块，如登录/退出前后要进行的操作 password：密码管理，如修改密码 应用根据需要调用不同的模块，如仅需要密码，或需要密码和指纹配置PAM 配置文件 每个支持PAM的应用程序或服务，都在/etc/pam.d目录中有一个相应的配置文件，配置文件名通常和服务/应用程序名称

6、相同，配置文件的作用主要是为应用选定具体的鉴别模块，模块间的组合以及规定模块的行为。 配置文件有许多登记项(每行对应一个登记项)组成，每一行又分为四列： 模块类型 控制标记 模块路径 模块参数 控制标记 规定如何处理模块的成功和失败情况，分四类： required：用户通过鉴别的必要条件，如果认证失败，先继续其他认证，最后返回失败 requisite：如果失败，立刻返回失败 sufficient：充分条件，如果成功，且前面的required没有失败，则立即返回成功；如果失败，则最终结果根据后续认证而定 optional：成功或失败，不影响最终结果 incude：表示在验证过程中调用其他的PAM

7、配置文件（大多数是system-auth ） 模块路径 标准模块（/lib/security/下的.so），使用模块名（相对路径） 其他模块，使用绝对路径名 模块参数 可选项，根据具体模块而定，多个参数间用空格分隔 配置文件分析 system-auth vsftpdsystem-auth#%PAM-1.0auth required pam_env.so使用/etc/security/pam_env.conf进行用户登录之后环境变量的设置auth sufficient pam_fprintd.so指纹识别auth sufficient pam_unix.so nullok try_first_p

8、ass使用传统密码auth requisite pam_succeed_if.so uid = 500 quiet 允许uid大于500的用户在通过密码验证的情况下登录auth required pam_deny.so 对所有不满足上述任意条件的登录请求直接拒绝account required pam_unix.so用户需要通过密码认证account sufficient pam_localuser.so本地用户account sufficient pam_succeed_if.so uid 500 quietaccount required pam_permit.so对所有类型的用户登录请求

9、都开放控制台password requisite pam_cracklib.so try_first_pass retry=3验证密码强度，最多输入3次password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtokpassword required pam_deny.sosession optional pam_keyinit.so revoke当用户登录的时候为其建立相应的密钥环，并在用户登出的时候予以撤销 session required pam_limits.so限制用户登录时的会话连接资源

10、session success=1 default=ignore pam_succeed_if.so service in crond quiet use_uidsession required pam_unix.sovsftpd （第八章）#%PAM-1.0session optional pam_keyinit.so force revokeauth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeedauth required pam_shells.soauth incl

11、ude system-authaccount include system-authsession include system-authsession required pam_loginuid.soTCPWrappers与xinetd访问控制inetd超级服务器 背景 一台服务器往往提供很多服务 每个服务需要一个daemon 大量后台运行的daemon会消耗系统资源 问题：能否在有服务请求时才启动daemon，响应请求后就结束？ 解决方法 使用单独的服务代理，根据请求启动运行相应daemon，daemon运行完毕，服务代理将结果返回客户端，这个代理就是inetd(internet daem

12、on)对比：xinetd(extended internete daemon) inetd的扩展版本，逐渐取代inetd 更加安全，提供一个额外的安全层，可以通过 “修改根目录” 把服务隔离在一个目录中何时使用inetd/xinetd 使用不频繁的服务使用 使用频繁的服务要用daemon，否则效率低下TCPWrappers基础 工作原理：图65 优先获取连接控制 根据访问规则决定连接控制是否转交给被请求的服务 检查/etc/hosts.allow，如有匹配，允许连接 检查/etc/hosts.deny，如有匹配，拒绝连接 以上2个都没有匹配，允许连接 特性（P198）与优势 对客户端和网络服务

13、的透明性 集中式管理多项协议使用TCPWrappers控制网络服务访问 确定服务是否由TCPWrappers控制 ldd 可执行文件名 | grep “libwrap” 主机访问文件格式 /etc/hosts.allow /etc/hosts.deny : 主机访问规则 例TCPWrappers和防火墙的区别 提供额外的保护层 提供某些防火墙不具备的功能 应和防火墙共同使用使用xinetd集中管理服务 xinetd超级服务 服务访问控制 xinetd调用libwrap.a检查TCP Wrappers主机访问规则，如匹配拒绝规则，则阻断连接，如匹配允许规则，则连接传给xinetd xinetd检查自身访问规则，如匹配拒绝规则，则放弃连接，否则，启动被请求的服务，让客户端连接到服务。 客户端和服务端建立连接后，xinetd不再参与通信 xinetd 配置文件 全局配置：/etc/xinetd.conf