一、PAM认证模块介绍
PAM认证模块,叫做可插拔式的认证模块。一项重要的功能就是为了加强su命令的使用控制,可以借助于PAM认证模块,只允许极个别用户使用su命令进行切换。PAM提供了对所有服务进行认证的中央机制,适用于login,远程登录(telnet,rlogin,fsh,ftp),su等应用程序中,系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略。
PAM认证首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/security下)进行安全认证。用户访问服务器的时候,服务器某一个服务程序把用户的请求发送到PAM模块进行认证,不用的应用程序对应的PAM模块也是不同的。
二、PAM认证用法
如果想查看某个程序是否支持PAM认证,那么可以进行过滤,例如:
~] #ls /etc/pam.d | grep su(这里su是一个文件,一个配置文件,与服务同名,修改它就是对su进行认证配置)
例如查看su的PAM配置文件:cat /etc/pam.d/su 每一行都是一个独立的认证过程,每一行可以区分为三个字段:1)认证类型 2)控制类型 3)PAM模块及其参数。
下面简单的介绍四种常见认证类型:
(1)认证管理(authentication management)接受用户名和密码,进而对该用户的密码进行认证
(2)账户管理(account management)检查账户是否被允许登录系统,账号是否已经过期,账号的登录是否有时间段的限制等
(3)密码管理(password management)主要是用来修改用户的密码
(4)会话管理(session management)主要是提供对会话的管理和记账(accounting)
那么控制类型也可以称做Control Flags,用于PAM验证类型的返回结果,具体有以下四种:
(1)required验证失败时仍然继续验证,但返回Fail
(2)requisite验证失败则立即结束整个验证过程,返回Fail
(3)sufficient验证成功则立即返回,不再继续,否则忽略结果并继续
(4)optional不用于验证,只是显示信息(通常用于session类型)
三、PAM验证流程
下面解读验证示例表格
以use1举例,第一个required控制类型通过调用module1模块,进行验证通过后,进入sufficient控制类型,通过后,进入required控制类型,N/A代表不需要再执行了,结果就是验证成功。
四、案例分析
例:控制用户使用su命令进行切换
1)、启用/etc/pam.d/su中的pam_wheel模块
pam_rootok:检查用户是否为超级用户,如果是超级用户(uid=0)则无条件地通过认证
pam_wheel:只允许wheel组的用户有超级用户的存取权限(只有wheel组里的人有su命令权限)
2)添加授权用户bob到wheel组
3)测试:bob可以切换到root,其他用户不能切换
具体操作方法:
~] #vim /etc/pam.d/su
添加一行或者放行注释
auth required pam_wheel.so use_uid
~] #gpasswd -a bob wheel