pam管理.docx

pam管理.docx

《pam管理.docx》由会员分享，可在线阅读，更多相关《pam管理.docx（23页珍藏版）》请在冰点文库上搜索。

pam管理

TheLinux-PAM系统管理员指南

作者:

AndrewG.Morgan,morgan@linux.kernel.org

翻译:

孙国清（ThomasSun）,thomassun@

DRAFTv0.711999/11/8这个文档所涉的是系统管理员须知的关于Linux-PAM库的知识.它涉及了设置PAM的正确语法并讨论维护一个可靠系统的正确的策略.

1.介绍

Linux-PAM（Linux下的可插入式认证模组）是一套共享函数库,允许系统管理员来决定应用程式如何识别用户.

换句话说,就是用不着（重写和）重新编译一个（支援PAM的）程式,就可以切换它所用的认证机制.你可以整个的升级你的认证系统而不用去管应用程式本身.

传统上,当一个应用程序有身份识别的需求,它就不得不把某一种验证算法写进去.例如,就传统的UN*X系统而言,核对使用者身份的方法就是要求用户输入正确的密码.这密码,除了开头的两个字符作为"salt",剩下的是加密过的（经由crypt（3））.接著用户被验证这个加密过的密码是否与他在密码档（就是/etc/passwd文件）中他的那笔记录的第二栏相符.在这样的系统里,绝大部份权限的授予是基于这种单一的认证机制.权限决定于个人的识别码（uid）和不同群组的成员.服务和程式是否可用由个人和群组的识别码决定.传统上,群组关系经由/etc/group文件中的记录来赋予.

不幸的是,随着计算机速度的不断提高,再加上满世界的关于网路计算的介绍,使得象这样曾是安全的验证机制,变得易受攻击了.面对这样的现实,新的验证方法正在持续的开发中.

Linux-PAM项目的目标是把赋权部分的开发以可靠的合适的鉴定模式从软件中分离出来。

这目标已经通过提供一组库函数实现了，应用程序可以用这些函数来请求验证某个用户。

这个PAM由特定的系统文件配置,/etc/pam.conf（或者是在/etc/pam.d/里的一系列配置文件）以经由特定的可用的认证模组来鉴定某个用户的请求。

这些个模组通常位于/usr/lib/security目录并且以可动态加载的目标文件的形式出现（参见dlopen（3））.

2.文中的说明

在继续阅读之前,请记住本文假定提到的文件位于默认的目录。

这个默认的目录我们遵循RFC（RFC-86.0,见bibliography）中的约定。

如果你正用一个支持PAM但是却选择以不同的方式发布这些文件的发布版的Linux（或是其他的OS）（RedHat就是这样的发布版）,那你从文章中直接拷贝例子的时候就要注意一下了.

举个例子,whereitisexplicit,本文假定PAM可加载目标文件（就是模块）位于这个目录:

/usr/lib/security/.可是,RedHatLinux,为遵循Linux文件系统标准（theFSSTND）,把这些文件放在/lib/security.在使用本文的例子时请小心的做一些转换的工作。

3.概观

Fortheuninitiated，我们开始于考虑一个例子。

我们来说说一个应用程序提供一些服务给用户；login就是这样的程序。

Login做两件事，它首先确认提出请求的用户正是他们自己，第二步提供给他们所请求的服务：

就login而言服务即是一个命令行外壳（commandshell）（如bash，tcsh，zsh之类。

）以这个用户的身份去跑。

传统上，前一个步骤通过login提示用户输入密码然后确认系统是否同意登入；接着确认（就系统而言）用户确实是提出要求的那人。

这类工作就是Linux-PAM的典型应用。

从应用程序员的角度看（在这个例子里就是写login程序的人），Linux-PAM处理认证的工作——确认用户的身份。

Linux-PAM的弹性在于，你，系统管理员有权来决定实施怎样的验证方案。

你有权来设定你的系统里的任何支持PAM的应用程序的验证方案。

就是说，你可以将验证方案设计成单纯的信任>;任何人（pam_permit）到像偏执狂似的通过视网膜扫描，声音识别和一个密码！

举例说明你所面对的弹性，考虑以下情形：

系统管理员（家中的父母）希望提高他的使用者（孩子们）的算术能力。

她可以设置他们喜欢玩的“Shoot'emup”（游戏，当然得支持PAM）通过提问小于12的一对随机数的乘积的办法来进行认证。

很明显不管游戏本身如何，他们会很快学会乘法表。

等他们再大些，认证可以升级到包括多位除法！

（译者：

我已经准备用这种办法来教我宝贝女儿学加减乘除了。

）

Linux-PAM处理四种独立的（管理）工作。

它们是：

认证管理；帐号管理；会话期间管理；和密码管理。

TheassociationofthepreferredmanagementschemewiththebehaviorofanapplicationismadewithentriesintherelevantLinux-PAMconfigurationfile.管理的功能由配置文件中指定的模块来完成。

这文件的语法在below部分讨论。

下面的插图描述了Linux-PAM的整个组织结构。

      +----------------+

      |application:

X|

      +----------------+    /  +----------+    +================+

      |authentication-[---->;--\--]Linux-  |--<--|PAMconfigfile|

      |    +      [----<--/--]      PAM  |    |================|

      |[conversation（）][--+  \  |      |    |Xauth..a.so|

      +----------------+  |  /  +-n--n-----+    |Xauth..b.so|

      |          |  |    __|  |        |        _____/

      |  serviceuser  |  A    |    |        |____,-----'

      |          |  |    V    A                

      +----------------+  +------|-----|---------+-----+------+

                      +---u-----u----+  |    |    |

                      |  auth....  |--[a]--[b]--[c]

                      +--------------+

                      |  acct....  |--[b]--[d]

                      +--------------+

                      |  password  |--[b]--[c]

                      +--------------+

                      |  session  |--[e]--[c]

                      +--------------+

Bywayofexplanation,图的左边表示一个应用程序:

X.这应用程序有和Linux-PAM库的接口并且在认证方面没有什么特别之处.Linux-PAM函数库（图的中部）查询PAM配置文件的内容并且装入适用于程序X的模块.这些模块进入四个管理组（图的中下部）中的一个,并且以它们出现在配置文件中的顺序堆叠起来.这些模组由Linux-PAM呼叫后,为应用程序执行不同的认证工作.需要用户提供或提供给用户的文本信息,可以通过使用应用程序提供的conversation函数来交换.

3.1Gettingstarted

以下段落由SethChaiklin供稿:

到现在为止,我们描述了PAM如何工作在一个理想世界里,

在这儿所有应用程序都被正确编写.

然而,到此时（1998年10月）,这距离现实还太远.

因此,在你试图把PAM用于你的系统时,还得考虑一些实际因素.

Whybother,isitreallyworthallthetrouble?

如果你运行Linux作为单用户系统,或者在一个所由用户都可信任的环境,那么用PAM就没什么实际优势.

Ed:

事实上还是有一个好处,你可以令认证变哑,就象没有任何认证....像Win95.

在网络环境里,很显然,关于用户你必需多想点,itisclearthatyouneedtothinkalittlemoreabouthowusersetc.,areauthenticated:

]

如果运行Linux作为服务器,提供一些不同的服务（e.g.,经由密码控制的WWW区域限制,PPP）,

那PAM就有一些实际的和有趣的价值.尤其是,通过使用使用模块,PAM能够使

一个程序经过几个不同的密码库来查找,哪怕那个程序没有专为那密码库写的代码.

下面有一些例子Herearesomeexamplesofthepossibilities

thatthisenables.

  o  Apache有一个模块提供PAM服务.  认证特定的目录权限可以让PAM来控制，

    这意味着，所有PAM能调用的模块都可以被Apache使用，包括RADIUS,NIS,NCP

    （NCP用来经由Novell的密码库认证）.

  o  pppd有一个PAM化了的版本（来自RedHat）  现在有可能用一系列的数据库来验证

    ppp用户.作为对基于Linux的密码库（/etc/passwd,/etc/shadow）的扩充,你可以

    用PAM模块来进行基于Novell密码库或NT（NTLM）密码库的认证.

  o  以上两则例子可以有组合应用.想象一下你办公室/部门的用户已经经过用户名/密码

    认证登入Novell或NT.如果你想要他在Linux下的应用也用相同的用户名/密码

    （为PPP登入,web服务,或者只是普通的shell登入）,你可以通过PAM进行基于这些已

    存在的数据库（译者注:

Novell的或者NT的）的用户认证,而无须在Linux和LAN服务器里

    各自维护独立的数据库.

我可以让所有需要有用户认证的程序都来用PAM吗?

有的可以,有的不行.可以的是那些你能得到源代码,并且可以加入适当的PAM函数的程序.

不行的是那些你无法得到源代码,并且可执行程序没有加入PAM的功能.

也就是说,如果一个程序打算要用PAM,那么它必须在程序里直接的包含PAM函数.

不这样做就不可能用PAM.

我怎么知道程序是否已经含有PAM的代码了呢?

一个快速的（但不总是可靠）的方法是执行ldd<程序>;

如果libpam和libpam_misc不在程序所需的函数库之列,那么它将不会用PAM.

然而,这两个函数库还是可能已经包含进程序了,不过问题依然存在,因为把PAM

写死在程序不会如你期望的工作.所以一个更可靠的方法是做一下的测试:

在/etc/pam.d目录里,需要为程序设有一个配置文件.具体的文件名是写死在程序里的.

通常和程序名一样,但却不总是这样.为举例说明,假设程序名字叫"pamprog",配置文件

是/etc/pam.d/pamprog.

在/etc/pam.d/pamprog里写这两行:

auth  required  pam_permit.so

auth  required  pam_warn.so

现在试着执行pamprog.配置文件的第一行是说所有用户都被允许.第二行会在你的

syslog文件（或者其它你的syslog会写的文件）里写一个warning.

如果这测试是成功的,那么你就知道你有一个"懂"pam的程序,并且你可以开始更有趣的工作:

决定如何在你的/etc/pam.d/pamprog里堆彻PAM模块.

4.Linux-PAM的设定档

Linux-PAM给系统管理员提供了相当大的弹性来设定系统里程式的权限赋予.由PAM控制的系统安全的本地配置可以包含在以下两个地方:

或者是一个单一的系统文件:

/etc/pam.conf;或者是/etc/pam.d/目录下的文件.本章我们来讨论这些文件的语法和一般的选项.

4.1设定档的语法

请注意,在这些文件里Linux-PAM特有的符号是不区分大小写的.而模块的路径,是大小写敏感的,因为它标识的是Linux下的文件的名字.而任何模块参数的大小写分别由各个模块定义.

除以下的行之外,为系统管理员方便,还有两个特殊的字符:

注解由'#'开头,结束于行结束,另外,模块的描述行可以以'\'脱字符延续到下一行.

通常/etc/pam.conf里的每一行有以下格式:

service-name  module-type  control-flag  module-path  arguments

接下来,我们来解释每个栏位的意思.另一种（也是常被采用的）设置Linux-PAM的方法是通过/etc/pam.d/里的文件来实现.在我们解释完上面的那行之后,我们就来讨论这种方法.

service-name

  这笔记录相关的服务名称.通常这服务名称是特定应用程序的名字.比如,`ftpd',`rlogind'和`su'这些..

  有一个保留的服务名称,它是用来定义默认的认证机制的.它就是`OTHER',大小写无关.注意,当已经有为指定服务定义了模块,那么`OTHER'记录会被忽略.

module-type

  模块的四种（目前是）类型.这四种类型是:

      *auth;这种模块类型确定有关用户认证的两方面.第一,它确认用户就是他们自己,这通过指示应用程序提示用户输入密码或者其它证实身份的方法.第二,这类模块会赋予成员资格Secondly,themodulecangrantgroupmembership（independentlyofthe/etc/groupsfilediscussedabove）orotherprivilegesthroughitscredentialgrantingproperties.

      *account;这些模块处理非认证级的帐号管理.典型的用法是基于一天的不同时间段来限制/允许访问某服务,当前可用的系统资源（最大用户数）或者限制特定用户---'root只能从控制台登录.

      *session;首先,这类模块和一系列动作有关,指在用户得到/失去服务时要做的事.这包括记录用户的登录/登出,挂载必须的目录等等.

      *password;这最后一种类型在更新用户的认证标志时需要.通常,各个基于"质问/回答"（译注:

指传统的用户名/密码的认证方法）的认证方法（auth）有一个对应的此模块.

control-flag

  控制符用来指示当某一模块返回成功或失败时PAM如何动作.既然模块可以被堆叠（同种类型的模块按先后顺序执行,一个接一个）,控制符决定每个模块的重要程度.应用程序不会直接接收'/etc/pam.conf'里列出的每一个模块的成功或失败的结果.相应的是,它只从Linux-PAM接收一个成功或失败的结论.这些模块的执行顺序就是它们在/etc/pam.conf里的记录的顺序;排在前面的记录在排在后的记录之前被执行.在Linux-PAM0.60版本里,这个control-flag可以有两种语法来定义.

  简单一些（也是过去的）语法是用一个限定词指示相关模块的重要程度.有四个关键字:

required,requisite,sufficient和optional.

  Linux-PAM将这四个关键字解释为:

      *required;需要的,这表明此模块返回成功值对于整个module-type的成功是必要的.此模块的返回失败并不会传回给用户直到剩下的模块（同样module-type）都执行过.

      *requisite;必要的,类似required,只不过,当这类模块返回失败时,整个控制会立刻回到应用程序.返回值同第一个需要的或必要的模块返回的失败.注意,这标志可以用来防止requiredorrequisitemoduletofail.Note,thisflagcanbeusedtoprotectagainstthepossibilityofausergettingtheopportunitytoenterapasswordoveranunsafemedium.Itisconceivablethatsuchbehaviormightinformanattackerofvalidaccountsonasystem.Thispossibilityshouldbeweighedagainstthenotinsignificantconcernsofexposingasensitivepasswordinahostileenvironment.

      *sufficient;充分的,这模块返回的成功会被认为已经充分满足Linux-PAM库确认这类模块（module-type）是成功的条件.如果没有先前的requisite模块返回了失败,那么不再会有其它'堆叠'的模块被呼叫.（注意,这种情况下,随后的requisite模块就不会被呼叫.）.这模块返回的失败不会看作是致命的错误而至影响应用程序从这module-type得到成功的结果.

      *optional;可选的,正如这名字一样,此议用法:

  对于su的传统的用法是允许superuser不经输入密码的变更为其它次要的用户的身份.为在Linux-PAM里实现这种行为,下面两行需要加入设定档:

#

#suauthentication.Rootisgrantedaccessbydefault.

#

su    auth    sufficient    pam_rootok.so

su    auth    required    pam_unix_auth.so

  注意.对于以superuser执行（或者在系统开机时被开启）的程序,应该不要用此模块去认证用户.

6.23Thesecurettymodule

概要

模块名:

  pam_securetty

作者:

  ElliotLee;

维护者:

  RedHatSoftware:

  currentlyMichaelK.Johnson;

  （ifunavailable,contactElliotLee

.

提供的管理组:

  authentication

Cryptographicallysensitive:

安全等级:

代码清洁度:

系统依赖:

  /etc/securettyfile

网络接口:

  为使此有意义的,需要应用程序设定正确的PAM_TTY.

概述

提供标准的UNIX的安全的tty的认证.

Authenticationcomponent

识别的参数:

描述:

  提供标准的Unix安全tty的检查，除非PAM_TTY的值列在/etc/securetty里,对root的认证将会失败.对所有其他用户,则为成功.

范本/建议用法:

  规范的用法,这模块应该作为required的认证方法出现在任何sufficient的认证之前.

6.24Timecontrol

概要

模块名:

  pam_time

作者:

  AndrewG.Morgan;

维护者:

  Author

提供的管理组:

  account

Cryptographicallysensitive:

安全等级:

代码清洁度:

系统依赖:

  需要一个设定档:

/etc/security/time.conf

网络接口:

  仅通过PAM_TTY

概述

运行一个规范得很好的系统偶尔也会包含对特定服务的有选择的限制访问.此模块提供了对系统服务的时间上的访问控制.它的行为由一个设定档决定.此模块可以设定成基于用户名,时间,星期,具体服务和请求服务时的终端名的对（单个）用户的拒绝访问.

Accountcomponent

识别的参数:

描述:

  此模块基于设定档中的制定的规则进行动作:

/etc/security/time.conf.m每个规则有如下格式,

      services;ttys;users;times

  每个规则占一行,结束于换行符或者注解的开始:

`#'.由分号`;'分隔成四个栏位.这些栏位是:

      *services-由此规则影响的服务名的逻辑列.

      *ttys-指示受此规则保护的终端名字的逻辑列表逻辑列表.

      *user-此规则作用到的用户的逻辑列表.

      逻辑列表意味一串符号（和适当的PAM_相关）,包含不超过一个的通配符:

`*',和可选的非操作符的前置:

`!

'.这一串表达式由两个逻辑操作符连接:

&（逻辑与）和|逻辑或）.两个例子:

!

morgan&!

root,表示此规则不会应用到用户morgan和root;tty*&!

ttyp*,表示此规则仅对控制台终端而不是伪终端适用.

      *times-此规则的适用时间的逻辑列表.每个元件的格式是周/时间-范围.周由两个字符指定.比如,MoTuSa,表示周一周二和周六.注意