您好,登錄后才能下訂單哦!
這篇文章跟大家分析一下“Linux系統(tǒng)pam的服務(wù)模塊及如何認(rèn)證”。內(nèi)容詳細(xì)易懂,對(duì)“Linux系統(tǒng)pam的服務(wù)模塊及如何認(rèn)證”感興趣的朋友可以跟著小編的思路慢慢深入來(lái)閱讀一下,希望閱讀后能夠?qū)Υ蠹矣兴鶐椭O旅娓【幰黄鹕钊雽W(xué)習(xí)“Linux系統(tǒng)pam的服務(wù)模塊及如何認(rèn)證”的知識(shí)吧。
PAM主要是由一組共享庫(kù)文件(也就是后綴名為.so文件)和一些配置文件組成的用于系統(tǒng)服務(wù)授權(quán)的一套東西。
一、常用的pam服務(wù)模塊
下面是Linux提供的PAM模塊列表(只是其中一部分),這其中包含模塊文件、模塊功能描述和相關(guān)配置文件,具體如下:
pam_access 提供logdaemon風(fēng)格登錄控制 /etc/security/access.conf
pam_chroot 提供類似chroot命令的功能
pam_cracklib 對(duì)密碼的強(qiáng)度進(jìn)行一定的檢查 庫(kù)文件libcrack和字典文件
/usr/lib/cracklib_dict
pam_deny 總是無(wú)條件地使認(rèn)證失敗
pam_env 設(shè)置取消環(huán)境變量 /etc/security/pam_env.conf
pam_filter 對(duì)輸入輸出流進(jìn)行過(guò)濾 filters
pam_ftp.so 對(duì)匿名ftp用戶進(jìn)行認(rèn)證
pam_group 當(dāng)用戶在指定的終端上請(qǐng)求指定的 /etc/security/group.conf
服務(wù)時(shí)賦予該用戶相應(yīng)的組權(quán)限
pam_issue 在提示用戶輸入用戶名之前顯示 /etc/issue
/etc/issue文件的內(nèi)容
pam_krb4 對(duì)用戶密碼進(jìn)行Kerberos認(rèn)證相應(yīng)的Kerberos庫(kù)文件
pam_lastlog 在用戶登錄成功后顯示關(guān)于 /var/log/lastlog
用戶上次登錄的信息,并維護(hù)
/var/log/lastlog文件。
pam_limits 限制用戶會(huì)話所能使用的系統(tǒng)資源 /etc/security/limits.conf
pam_listfile 根據(jù)指定的某個(gè)文件決定是否 例如/etc/ftpusers
允許或禁止提供服務(wù)
pam_mail 檢查用戶的郵箱中是否有新郵件 /var/spool/mail/xxxx
pam_mkhomedir 為用戶建立主目錄 /etc/skel/
pam_motd 顯示/etc/motd文件的內(nèi)容 /etc/motd
pam_nologin 根據(jù)/etc/nologin文件的存在與否 /etc/nologin
來(lái)決定用戶認(rèn)證是否成功
pam_permit 總是無(wú)條件地使認(rèn)證成功
pam_pwdb 作為pam_unix_xxxx模塊的一個(gè)替代。/etc/pwdb.conf
使用Password Database通用接口進(jìn)行認(rèn)證。
pam_radius 提供遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(RADIUS)的認(rèn)證
pam_rhosts_auth 利用文件/.rhosts和/etc/hosts.equiv和/.rhosts
/etc/hosts.equiv對(duì)用戶進(jìn)行認(rèn)證。
pam_rootok 檢查用戶是否為超級(jí)用戶,如果是超級(jí)用戶(uid=0)則無(wú)條件地通過(guò)認(rèn)證。
pam_securetty 提供標(biāo)準(zhǔn)的Unix securetty檢查 /etc/securetty
pam_time 提供基于時(shí)間的控制,比如限制 /etc/security/time.conf
用戶只能在某個(gè)時(shí)間段內(nèi)才能登錄
pam_unix 提供標(biāo)準(zhǔn)的Unix認(rèn)證 /etc/passwd和/etc/shadow
pam_userdb 利用Berkeley DB數(shù)據(jù)庫(kù)來(lái)檢查用戶/密碼
pam_warn 利用syslog( )記錄一條告警信息
pam_wheel 只允許wheel組的用戶有超級(jí)用戶的存取權(quán)限
1、案例1(pam_access.so)
現(xiàn)有一賬號(hào)user1 只允許192.168.2.1 ssh登錄
(1)安裝pam
[root@huangzhong ~]# mount /dev/cdrom /media/cdrom/
[root@huangzhong ~]# cd /media/cdrom/Packages/
[root@huangzhong Packages]# ll |grep pam //過(guò)濾與pam相關(guān)的包
[root@huangzhong Packages]# yum install pam-1.1.1-13.el6.x86_64.rpm
(2)因?yàn)橄拗苨sh登錄,所以這里要用到sshd模塊,因此要編輯/etc/pam.d/
[root@huangzhong ~]# cd /etc/pam.d/
[root@huangzhong pam.d]# vim sshd
(3)編輯access.so模塊的配置文件
[root@huangzhong pam.d]# vim /etc/security/access.conf
(4)測(cè)試驗(yàn)證
//新建user1用戶
[root@huangzhong ~]# useradd user1
[root@huangzhong ~]# passwd user1
Changing password for user user1.
New password:
BAD PASSWORD: it is WAY too short
BAD PASSWORD: is too simple
Retype new password:
passwd: all authentication tokens updated successfully.
//在本地ssh登錄測(cè)試結(jié)果如下:
//在192.168.2.1上ssh登錄,結(jié)果如下:
在這里也可以通過(guò)查看日志信息,查看登錄的結(jié)果,所要查看的日志是:
[root@huangzhong ~]# tail -f /var/log/secure
2、案例2(pam_listfile.so)
在對(duì)Linux服務(wù)器進(jìn)行管理時(shí),只允許manager組的用戶可以管理,是通過(guò)ssh管理。
(1) 因?yàn)橄拗苨sh登錄,所以這里要用到sshd模塊,因此要編輯/etc/pam.d/
[root@huangzhong ~]# cd /etc/pam.d/
[root@huangzhong pam.d]# vim sshd
(2) 創(chuàng)建manager組,并編輯一些用戶
[root@huangzhong pam.d]# vim /etc/manager
//創(chuàng)建用戶user2和user3,并給予口令
(3) 登錄測(cè)試
使用user1登錄測(cè)試
使用user2和user3登錄測(cè)試結(jié)果如下:
3、案例3(pam_limts.so)
限制user1,ssh在線的登陸次數(shù)為2次
(1) 因?yàn)橄拗苨sh登錄,所以這里要用到sshd模塊,因此要編輯/etc/pam.d/
[root@huangzhong ~]# cd /etc/pam.d/
[root@huangzhong pam.d]# vim sshd
(2) 編輯/etc/security/limits.conf 文件
[root@huangzhong pam.d]# vim /etc/security/limits.conf
(3) 登錄測(cè)試
使用user1登錄3次測(cè)試結(jié)果如下:
查看日志信息如下:
[root@huangzhong pam.d]# tail -f /var/log/secure
關(guān)于Linux系統(tǒng)pam的服務(wù)模塊及如何認(rèn)證就分享到這里啦,希望上述內(nèi)容能夠讓大家有所提升。如果想要學(xué)習(xí)更多知識(shí),請(qǐng)大家多多留意小編的更新。謝謝大家關(guān)注一下億速云網(wǎng)站!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。