RHCE技术培训-用户账户管理介绍

1、RedHat RHCE 操作系统技术培训资料用户账户管理介绍单元 9 账户管理目标用户账户账户信息（名称服务）名称服务切换（NSS）getent验证可插入验证模块（PAM）PAM 操作/etc/pam.d /文件 ：测试/etc/pam.d/ 文件 ：控制值示例 ：/etc/pam.d/login 文件system_auth 文件pam_unix.so网络验证auth 模块密码安全性密码策略session 模块工具和验证PAM 故障排除结束 单元 9目标学习了本单元后，你应该能够 ： 理解验证的基本知识 理解 NSS 和 PAM 的功能用户账户 每个用户账户必须提供两类信息 账户信息 ：UID

2、 号码、默认的 shell，主目录，组群成员信息等等 验证是一种用来确定登录账户所用的密码是否正确的方法账户信息（名称服务） 通过库功能使用的名称服务将名称与信息进行匹配 最初，仅由类似 /etc/passwd 的本地文件提供名称服务 添加对新名称服务（如 NIS）的支持需要重新编写 libc名称服务切换（NSS） NSS 允许不必重新编写 libc 就能够添加新名称服务 使用 /lib/libnss_service.so 文件 /etc/nsswitch.conf 控制要使用的名称服务及其顺序 passwd ：files nis ldapgetent getent database 列出所有

3、保存在指定数据库中的对象 getent services getent database name 在指定数据库中的保存信息中查找某个特定的名称 getent passwd smith验证 应用程序传统上使用 libc 功能来验证密码 在登录时提供的散列密码 和 NSS 中的散列密码进行比较 如果匹配，则通过验证 应用程序必须被重新编写来改变它们验证用户的方法可插入验证模块（PAM） 可插入验证模块 应用程序调用 libpam 功能来验证和授权用户 libpam 根据应用程序的 PAM 配置文件来进行验证 可能通过 libc 来包括 NSS 检查 共享的，可动态配置的代码 文档 ：/usr/s

4、hare/doc/pam-/PAM 操作 /lib/security PAM 操作 每个模块都执行“通过”或“失败”测试 /etc/security 中的文件可能会影响某些模块执行测试的方法 /etc/pam.d PAM配置 服务文件决定模块在什么时候如何被特定程序使用/etc/pam.d 文件 ：测试 测试被分为四类 ： auth 验证某用户的确是这个用户 account 批准某账户的使用 password 控制密码的修改 session 打开、关闭、并记录会话 每一类都会在需要时被调用，并为服务提供独立的结果/etc/pam.d 文件 ：控制值 控制值决定每个测试将会如何影响群的总体结果

5、required ：必须通过，若失败则继续测试 requisite 和 required 相似，不同之处是它在失败后停止测试 sufficient ：如果到此为止一直通过，现在就返回成功 ：如果失败，忽略测试继续检查 optional ：测试通过与否都无关紧要 include ：返回在被调用文件中配置的测试的总体控制值示例 ：/etc/pam.d /login 文件 auth required pam_securetty.so auth include system_auth account required pam_nologin.so account include system_auth

6、 password include system_auth session required pam_selinux.so close session optional pam_keyinit.so force revoke session include system_auth session required pam_loginuid.so session optional pam_console.so session required pam_selinux.so open system_auth 文件 system-auth 被广泛使用 被 include 控制标记，而不是模块（如 p

7、am_stack.so）调用 包含标准验证测试 被系统中许多程序共享 能够对标准系统验证进行简单、统一的管理 pam_unix.so 用于基于 NSS 验证的模块 auth 从 NSS 中获取散列密码，然后与输入的密码散列进行比较 account 检查密码是否过期 password 处理本地文件或 NIS 中的密码修改 session 将登录和注销时间记录到日志中网络验证 集中密码管理 pam_krb5.so （Kerberos V ticket） pam_ldap.so （LDAP 绑定） pam_smb_auth.so （较老的 SMB 验证） pam_winbind.so （通过 win

8、bindd 的 SMB） 某些使用 NSS /pam_unix.so 的服务 NIS、Hesiod 、一些 LDAP 配置 auth 模块 如果从没有在 /etc/security 中列出的终端上以 root 身份登录，pam_securetty.so 测试就会失败 如果用户不是 root，并且存在文件 /etc/nologin，pam_nologin.so 测试就会失败 pam_listfile.so 根据文件中的列表来检查验证特征 可以被允许或拒绝的账户列表密码安全性 pam_unix.so MD5 密码散列 是密码散列更难破译 pam_unix.so shadow 密码 是密码散列只能被

9、 root 查看 启用密码时效功能 其它模块可能会支持密码时效机制密码策略 密码历史 带有 remember=N 参数的 pam_unix.so 密码强度 pam_cracklib.so pam_passwdqc.so 对失败登录的监控 pam_tally.so session 模块 pam_limits.so 强制资源限制 使用 /etc/security/limits.conf pam_console.so 为控制台用户设定对本地设备的使用权限 还可以作为 auth 模块使用 pam_selinux.so 帮助设置 SELinux 环境 pam_mkhomedir.so 在主目录不存在的情况下创建主目录工具和验证 需要验证的本地管理工具 su、reboot、system-config-* 等等 若以 root 身份运行，pam_rootok.so 就会通过 pam_timestamp.so 用于类似 sudo 的行为 pam_xauth.so 转发 xauth cookiePAM 故障排除 检查系统日志 /var/log/messages /var/log/s