单元 9 — 账户管理目标 用户账户 账户信息(名称服务) 名称服务切换(NSS) getent 验证 可插入验证模块(PAM) PAM 操作 /etc/pam.d /文件 :测试 /etc/pam.d/ 文件 :控制值 示例 :/etc/pam.d/login 文件 system_auth 文件 pam_unix.so 网络验证 auth 模块密码安全性 密码策略 session 模块 工具和验证 PAM 故障排除 结束 单元 9目标学习了本单元后,你应该能够 :● 理解验证的基本知识● 理解 NSS 和 PAM 的功能用户账户● 每个用户账户必须提供两类信息● 账户信息 :UID 号码、默认的 shell,主目录,组 群成员信息等等● 验证是一种用来确定登录账户所用的密码是否正确的 方法账户信息(名称服务)● 通过库功能使用的名称服务将名称与信息 进行匹配● 最初,仅由类似 /etc/passwd 的本地 文件提供名称服务● 添加对新名称服务(如 NIS)的支持需要 重新编写 libc名称服务切换(NSS)● NSS 允许不必重新编写 libc 就能够添加 新名称服务● 使用 /lib/libnss_service.so 文件● /etc/nsswitch.conf 控制要使用的名 称服务及其顺序● passwd :files nis ldapgetent● getent database● 列出所有保存在指定数据库中的对象● getent services● getent database name● 在指定数据库中的保存信息中查找某个特定的名称● getent passwd smith验证● 应用程序传统上使用 libc 功能来验证密码● 在登录时提供的散列密码● 和 NSS 中的散列密码进行比较● 如果匹配,则通过验证● 应用程序必须被重新编写来改变它们验证用 户的方法可插入验证模块(PAM)● 可插入验证模块● 应用程序调用 libpam 功能来验证和授权用户● libpam 根据应用程序的 PAM 配置文件来进行 验证● 可能通过 libc 来包括 NSS 检查● 共享的,可动态配置的代码● 文档 :/usr/share/doc/pam- /PAM 操作● /lib/security PAM 操作● 每个模块都执行“通过”或“失败”测试● /etc/security 中的文件可能会影响某些模块执行 测试的方法● /etc/pam.d PAM配置● 服务文件决定模块在什么时候如何被特定程序使用/etc/pam.d 文件 :测试● 测试被分为四类 :● auth 验证某用户的确是这个用户● account 批准某账户的使用● password 控制密码的修改● session 打开、关闭、并记录会话● 每一类都会在需要时被调用,并为服务提 供独立的结果/etc/pam.d 文件 :控制值● 控制值决定每个测试将会如何影响群的总 体结果● required :必须通过,若失败则继续测试● requisite 和 required 相似,不同之处是它在失 败后停止测试● sufficient :如果到此为止一直通过,现在就返回成 功 :如果失败,忽略测试继续检查● optional :测试通过与否都无关紧要● include :返回在被调用文件中配置的测试的总体控 制值示例 :/etc/pam.d /login 文件auth required pam_securetty.soauth include system_authaccount required pam_nologin.soaccount include system_authpassword include system_authsession required pam_selinux.so closesession optional pam_keyinit.so force revokesession include system_auth session required pam_loginuid.sosession optional pam_console.sosession required pam_selinux.so opensystem_auth 文件● system-auth 被广泛使用● 被 include 控制标记,而不是模块(如 pam_stack.so)调用● 包含标准验证测试● 被系统中许多程序共享● 能够对标准系统验证进行简单、统一的管理pam_unix.so● 用于基于 NSS 验证的模块● auth 从 NSS 中获取散列密码,然后与输入的密码 散列进行比较● account 检查密码是否过期● password 处理本地文件或 NIS 中的密码修改● session 将登录和注销时间记录到日志中网络验证● 集中密码管理● pam_krb5.so (Kerberos V ticket)● pam_ldap.so (LDAP 绑定)● pam_smb_auth.so (较老的 SMB 验证)● pam_winbind.so (通过 winbindd 的 SMB)● 某些使用 NSS /pam_unix.so 的服务● NIS、Hesiod 、一些 LDAP 配置auth 模块● 如果从没有在 /etc/security 中列出的终端上 以 root 身份登录,pam_securetty.so 测 试就会失败● 如果用户不是 root,并且存在文件 /etc/nologin,pam_nologin.so 测试就 会失败● pam_listfile.so 根据文件中的列表来检查验 证特征● 可以被允许或拒绝的账户列表密码安全性● pam_unix.so MD5 密码散列● 是密码散列更难破译● pam_unix.so shadow 密码● 是密码散列只能被 root 查看● 启用密码时效功能● 其它模块可能会支持密码时效机制密码策略● 密码历史● 带有 remember=N 参数的 pam_unix.so● 密码强度● pam_cracklib.so● pam_passwdqc.so● 对失败登录的监控● pam_tally.sosession 模块● pam_limits.so 强制资源限制● 使用 /etc/security/limits.conf● pam_console.so 为控制台用户设定对本地 设备的使用权限● 还可以作为 auth 模块使用● pam_selinux.so 帮助设置 SELinux 环境● pam_mkhomedir.so 在主目录不存在的情 况下创建主目录工具和验证● 需要验证的本地管理工具● su、reboot、system-config-* 等等● 若以 root 身份运行,pam_rootok.so 就会通过● pam_timestamp.so 用于类似 sudo 的行为● pam_xauth.so 转发 xauth cookiePAM 故障排除● 检查系统日志● /var/log/messages● /var/log/secure● PAM 错误会将 root 用户拒之门外● 在测试 PAM 时打开一个 root shell● 用单用户模式绕过 PAM● 使用救援光盘引导系统结束 单元 9● 答疑● 总结● 答疑● 上机准备● 课程目标● 练习背景● 参考答案● 若需帮助,请向指导老师咨询。