Linux-PAM系统管理指南
作者:Morgan, Andrew G.
翻译:nixe0n
1.简介
2.关于本文的一些说明
3.综述
3.1.入门
4.Linux-PAM配置文件
4.1.配置文件的语法
4.2.基于目录的配置形式
4.3.通用参数
4.4.配置文件入口示例
1.简介
Linux-PAM(Pluggable Authentication Modules for Linux.基于Linux的插入式验证模块)是一组共享库,使用这些模块,系统管理者可以自由选择应用程序使用的验证机制。也就是说,勿需重新编译应用程序就可以切换应用程序使用的验证机制。甚至,不必触动应用程序就可以完全升级系统使用的验证机制。
在历史上,需要对用户进行验证的应用程序,必须同某种验证机制编译到一起。例如,传统的UN*X系统是使用密码对用户进行校验的。用户输入的密码经过crypt加密后,然后和/etc/passwd文件中的密文进行比较。在这种系统中,如果优先权的识别不是基于这种方式,就需要通过用户识别符和用户组识别符对优先权进行验证。服务和应用程序可以使用基于用户和用户组识别的验证方式。通常,用户组的分配是通过/etc/group文件。
不幸的是,随着计算机速度的加快和网络的大范围普及,使用这种验证方式越来越不安全了。因此,人们开发了许多新的验证方法。
Linux-PAM工程的目的就是分离应用软件和验证机制的开发。通过验证函数库可以实现上述目的。PAM库由本地的系统配置文件/etc/pam.conf或者/etc/pam.d/目录下的一些配置文件来设置。而模块以动态可加载目标文件(使用dloptn(3)函数打开)的形式保存在/usr/lib/security目录中。
2.关于本文的一些说明
在开始阅读本文时,你应该清楚本文假定特定的文件是在特定的目录中。我们遵照RFC-86的约定。有些Linux发布把这些文件放在不同的位置,因此如果你的系统是象RedHat之类的发布,那么你应该谨慎使用本文提供的例子。
例如,本文假设PAM可加载目标文件(模块)是在/usr/lib/security/目录下,而在RedHat Linux系统中它们被放在了/lib/security目录下。因此,使用本文的例子时应该注意进行必要的转换。
3.综述
我们从一个例子开始讨论。首先找一个能够为用户提供服务的应用程序,login就是一个这样的程序。login要做两件事,首先查询用户,然后为用户提供所需服务,例如提供一个shell程序。
通常,login会提示用户输入密码。然后对密码进行校验,这项任务就是Linux-PAM完成的。
从程序员的角度看,Linux-PAM的任务就是校验用户的合法性。
Linux-PAM具有很大的灵活性,系统管理者可以通过它自由选择使用的验证方式。你也可以自由选择应用程序使用的验证方式。Linux-PAM能够提供的验证方式多种多样,从绝对信任(pam_permit)到视网膜扫描、音频分析以及一次性口令,不一而足。
为了描述Linux-PAM的灵活性,我们可以假想一种情况:一个系统管理者(父母)希望提高用户(他们的子女)的数学能力。他/她就可以通过一个孩子们非常喜欢的游戏“Shoot em up game”达成上述目的,当然前提是这个游戏能够使用PAM提供的验证机制。验证可以设置:每次孩子们要玩游戏时,都需要回答出一组小于12的随机数的乘积。这样孩子们每次玩游戏之前都可以练习乘法运算。随着他们的成长,可以增加数字的大小。
Linux-PAM处理四种类型的任务:验证管理(auth)、帐户管理(account)、会话管理(session)和口令管理(password)。应用程序使用的管理方式通过相关的Linux-PAM配置文件设置。管理功能是有配置文件指定的模块完成的。
应用程序X,它通过一些接口调用Linux-PAM库,而自己并不知道使用的验证方法。Linux-PAM库读出PAM配置文件的内容,根据配置文件加载程序X需要的模块。这些模块进入某个管理组并且按照配置文件设置的顺序层叠在一起。它们为应用程序执行各种验证任务。应用程序和用户之间通过conversation函数实现信息交换。
3.1.入门
下面是Seth Chaiklin说的一段话:
从这一点来看,PAM应该工作在理想世界中,在这里所有的应用程序都没有错误。然而,事实远非如此。因此,如果你要使用PAM,需要考虑一些实际的问题。
如果你把Linux用作一个单用户系统,或者系统中的用户是相互信任的,那使用PAM没有多大意思。
你可以在没有重要东西的系统上取消PAM,这实际上可以带来一些方便。使系统象Win95。
在网络环境下,就需要考虑用户验证的问题了。
如果你使用Linux作为一个服务器,用它来提供一些不同的服务,这时PAM就体现了它的价值。一般情况下,通过使用不同的模块,程序可以搜索各种密码数据库,而程序本身勿需改写。下面是一些例子:
apache有一个模块能够提供PAM服务。因此,对于特定目录的验证可以通过PAM完成,这意味着大量现有的PAM模块可以用来进行验证工作,包括RADIUS、NIS、NCP。
pppd有一个使用PAM验证的版本(来自RedHat)。
我可以把PAM由于任何需要验证的程序吗?
可以说能也可以说不能。能,是指如果你能够修改源代码,就可以加入PAM验证功能;不能是指如果你无法修改源代码,那么在二进制可执行文件汇中是无法加入PAM验证功能的。
我怎样才能区分程序是否使用了PAM验证?
1.使用ldd命令,如果这个程序的使用的动态连接库没有libpam和libpam_misc,那它肯定不使用PAM验证。然而,还有可能已经包含这两个库了,但是因为某些问题,程序无法正常工作。因此需要更好的方法来测试。
2.对于需要使用PAM的程序,需要在/etc/pam.d目录中为其设置配置文件。配置文件的名字被编写进程序源代码中,通常和程序的名字是一样的,但不总是这样。例如:有个程序叫作pamprog,它的PAM配置文件是/etc/pam.d/pamprog。在配置文件中,只有下面两行:
auth required pam_permit.so
auth required pam_warn.so
现在对其进行测试。第一行,表示所有的用户都允许通过;第二行表示想syslog中写入一条警告信息。如果测试成功,就表示程序能够使用PAM进行验证。然后你可以在配置文件中加入更为复杂的验证功能。
4.Linux-PAM配置文件
Linux-PAM的目标就是为系统管理者提供最大限度的灵活性。系统管理者可以通过两种形式对Linux-PAM进行配置:单一配置文件/etc/pam.conf;或者是/etc/pam.d/目录。这一节我们将讨论其配置文件的语法。
4.1.配置文件的语法
读者首先应该明白Linux-PAM的记号是大小写敏感的。有两个特殊的符号:#和。配置文件中的注释以#开头,一般配置文件中每行是一个入口(除了注释),但是如果某个入口的定义很长,可以通过使用转义符回行,而下一行也被看作是这个入口的一部分。
一般/etc/pam.conf文件每行都是这种格式:
service-name module-type control-flag module-path arguments
下面我们将对每个记号进行解释。除了这种方式之外,还可以使用/etc/pam.d/目录对Linux-PAM进行配置,稍后我们将对这种方式进行讲述。
service-name
为这个入口分配的服务名。通常这是给定应用程序的会话名。例如:ftpd、rlogind、su等等。
Linux-PAM还为默认的验证机制保留一个特殊的服务名,就是OTHER,大小写均可。注意,如果某个模块指定了以命名的服务,那OTHER就被忽略。
modle-type
Linux-PAM当前有四种类型的模块:
auth
这种类型的模块为用户验证提供两方面的服务。1.让应用程序提示用户输入密码或者其它的标记,确认用户的合法性;2.通过它的凭证许可权限,设定组成员关系(不同于上面讨论的/etc/groups文件)或者其它优先权。
account
这类模块执行基于非验证的帐户管理。它主要用来限制/允许用户对某个服务的访问时间,当前有效的系统资源(最多可以有多少个用户),限制用户的位置(例如:root用户只能从控制台登录)。
session
这类模块的主要用途是处理为用户提供服务之前/后需要做的一些事情,包括:记录打开/关闭交换数据的信息,监视目录等。
password
用来升级用户验证标记。
control-flag
控制标志用来设置验证成功或者失败后PAM需要作出的反应。因为模块可以层叠(stacked,同样类型的模块依次执行),控制标志可以决定每个模块的重要性。应用程序不会意识到单个模块成功或者失败,它只会收到Linux-PAM库成功或者失败的综合反应信息。层叠模块的执行顺序取决于/etc/pam.conf文件的入口顺序,入口列前的模块先执行。从Linux-PAM 6.0开始可以使用两种语法定义控制标志。
简单的一种是使用单一关键词定义控制标志。有四个这样的关键词:required、requisite、sufficient和optional。
Linux-PAM通过如下方式解释这些关键词:
required
表示即使某个模块对用户的验证失败,也要等所有的模块都执行完毕之后,PAM才返回错误信息。这样做是为了不让用户知道被哪个模块拒绝。如果对用户验证成功,所有的模块都会返回成功信息。
requisite
如果特定的模块对用户的验证失败,PAM马上返回一个错误信息,把控制权交回应用程序,不再执行其它模块进行验证。
sufficient
表示如果一个用户通过这个模块的验证,PAM结构就立刻返回验证成功信息,把控制权交会应用程序。后面的层叠模块即使使用requisite或者required控制标志,也不再执行。如果验证失败sufficient的作用和optional相同。
optional
表示即使本行指定的模块验证失败,也允许用户享受应用程序提供的服务。使用这个标志,PAM框架会忽略这这个模块产生的验证错误,继续顺序执行下一个层叠模块。
还有一种比较复杂的语法来设置控制标志,它由一组value=action形式的标记组成,标记之间以空格分开:
[value1=action1 value2=action2 ...]
valueN可以是下列Linux-PAM库的返回值:success、open_err、symbol_err、service_err、system_err、buf_err、perm_denied、auth_err、cred_insufficient、authinfo_unavail、user_unknown、maxtries、new_authtok_reqd、acct_expired、session_err、cred_unavail、cred_expired、cred_err、no_module_data、conv_err、authtok_err、authtok_recover_err、authtok_lock_busy、authtok_disable_aging、try_again、ignore、abort、authtok_expired、module_unknown、bad_item和default。最后一个(default)能够用来设置上面的返回值无法表达的行为。
actionN可以是一个非负整数或者是下面的记号之一:ignore、ok、done、bad、die和reset。如果是非负整数J,就表示需要忽略后面J个同样类型的模块。通过这种方式,系统管理者可以更加灵活地设置层叠模块,模块的层叠路径由单个模块的反应决定。
ignore
如果使用层叠模块,那么这个模块的返回值将被忽略,不会被应用程序知道。
bad
它表示这个返回码应该被看作是模块验证失败。如果这个模块是层叠模块的第一个验证失败的模块,那么它的状态值就是整个层叠模块的状态值。
die
终止层叠模块验证过程,立刻返回到应用程序。
ok
告诉PAM这个模块的返回值直接作为所有层叠模块的返回值。也就是说,如果这个模块前面的模块返回状态是PAM_SUCCESS,那这个返回值就会覆盖前面的返回状态。注意:如果前面的模块的返回状态表示模块验证失败,那么不能使用这个返回值覆盖。
done
终止后续层叠模块的验证,把控制权立刻交回应用程序。
reset
清除所有层叠模块的返回状态,从下一个层叠模块重新开始。
module-path
PAM验证模块的路径。如果以/开头,就表示是完整的路径;如果不是以/打头,就表示是相对于/usr/lib/security的相对路径。
args
传递给模块的参数。类似于通常的Linux Shell命令行参数。有效的参数包括一些通用参数和特定于给定模块的参数。无效的参数将被忽略,并会把错误信息记录到syslog。
注意:配置文件中的任何一行错误都会导致验证失败,同时相关错误信息被记录到syslog。
4.2.基于目录的配置形式
从Linux-PAM 5.6版开始引入了一种基于目录的配置方式,通过/etc/pam.d/目录下的文件对PAM进行配置。这种方式比单一的配置文件具有更大的灵活性。这个目录下的所有配置文件都以某个服务名命名(小写)。
不过,这两种配置方式不能同时起作用,也就是说,你只能使用其中一种对Linux-PAM进行配置。一般/etc/pam.d/优先。
/etc/pam.d/目录下的配置文件的语法和/etc/pam.conf文件的语法相似,形式如下:
module-type control-flag module-path arguments
和/etc/pam.conf文件语法的唯一不同就是没有服务名(service-name),服务名由文件名设置。例如:/etc/pam.d/login文件保存对login服务的设置。
这种配置方式与单一配置文件相比,具有很大的优越性:
减少了配置错误的几率。
更易于维护。
可以通过使用不同配置文件的符号连接决定系统的验证策略。
可以加快对于配置文件的解析。
可以对单个的Linux-PAM配置文件设置不同的存取权限。
更易于软件包的管理。
4.3.通用参数
下面是一些通用参数,可以被所有的模块解析:
debug
通过syslog系统调用记录调试信息。
nowarn
使模块不要向应用程序输出警告信息。
use_first_pass
使模块不提示用户输入密码,而是使用为前一个验证模块输入的密码。如果无效,则验证失败。这个参数只能用于auth和password类型模块。
try_first_pass
首先使用用户为上一个模块输入的密码进行验证,如果不行,就提示用户输入密码,这个参数只能用于auth类型的模块。
use_mapped_pass
这个参数目前还不能被任何Linux-PAM模块支持,主要因为美国加密算法的出口限制。
expost_account
通常,对于模块来说泄露用户的某些信息并非一个安全的策略。有时候用户名、起始目录或者用户使用的shell等信息都可以被攻击者用来攻击一个用户帐户。这个参数是一个适用于每个模块的标准参数,它可以使模块尽量少地泄露用户信息。
4.4.配置文件入口示例
在这一节,我们将给出一些例子,以便于理解。
默认策略
一个合理的OTHER入口对于加强系统安全非常重要。下面是一个非常偏执的例子。
# 默认; 拒绝访问
#
OTHER auth required /usr/lib/security/pam_deny.so
OTHER account required /usr/lib/security/pam_deny.so
OTHER password required /usr/lib/security/pam_deny.so
OTHER session required /usr/lib/security/pam_deny.so
毫无疑问,这是最安全的OTHER策略了,但是不太合理。例如:如果这个文件的其它部分编写不好,那么很容易把所有的用户挡在门外。
pam_deny模块在运行时不记录任何信息,除非用户在无法执行某个服务程序时能够与系统管理人员联系,否则系统管理者很长时间不会知道系统配置错误。
在上面例子的前面加入以下几行,系统管理者就可以获得有关的警告信息了:
# 如果程序配置错误
#
OTHER auth required /usr/lib/security/pam_warn.so
OTHER password required /usr/lib/security/pam_warn.so
这样有两行是auth模块类型,形成模块层叠。
在一个使用/etc/pam.d/配置的系统中,默认配置文件如下:
# default configuration: /etc/pam.d/other
#
auth required /usr/lib/security/pam_warn.so
auth required /usr/lib/security/pam_deny.so
account required /usr/lib/security/pam_deny.so
password required /usr/lib/security/pam_warn.so
password required /usr/lib/security/pam_deny.so
session required /usr/lib/security/pam_deny.so
对于不熟悉Linux-PAM的系统管理者,下列几行可以作为最基本的系统配置:
# default; standard UNIX access
#
OTHER auth required /usr/lib/security/pam_unix_auth.so
OTHER account required /usr/lib/security/pam_unix_acct.so
OTHER password required /usr/lib/security/pam_unix_passwd.so
OTHER session required /usr/lib/security/pam_unix_session.so
通常这足以为大多数应用程序提供验证服务了。但是,大多数并不表示全部。如果你需要打开FTP匿名登录功能,就无法满足要求了。
为了打开匿名FTP,需要使用以下的配置命令代替默认的配置(OTHER):
# ftpd; add ftp-specifics. These lines enable anonymous ftp over
# standard UNIX access (the listfile entry blocks access to
# users listed in /etc/ftpusers)
#
ftpd auth sufficient /usr/lib/security/pam_ftp.so
ftpd auth required /usr/lib/security/pam_unix_auth.so use_first_pass
ftpd auth required /usr/lib/security/pam_listfile.so
onerr=succeed item=user sense=deny file=/etc/ftpusers
由于需要忽略默认的配置入口,所以第二行是必须要有的。这还是一个层叠模块的例子。使用sufficient控制标志,表示如果这个模块验证通过,就不必使用后面的层叠模块进行验证了;use_first_pass表示使用为前面的模块(pam_ftp)输入的密码。
发布人:netbull 来自:LinuxAid