• PAM


    安全:

    硬件、系统、应用程序、网络

    硬件安全:损坏、断电、寿命、被盗
    系统安全:权限(文件系统)、用户登录验证、木马、实时关心漏洞的补丁

    进程的权限称为:euid和egid

    权限:

    mount挂载选项:mount -o 指定属性
    defaults:rw,suid,dev,exec,auto,nouser,async
    rw、ro:是否可写
    suid、nosuid:是否能使用suid权限
    dev、nodev:是否可以使用设备文件
    主从设备号:主(major number)定义驱动,从(minor number)定义第几个设备
    yum install kernel-doc
    内核文档:less /usr/share/doc/kernel-doc-2.6.18/Documentation/devices.txt
    查看设备文件的主从设备号:ll /dev/
    创建设备文件:mknod /dev/sda5 b 8 5
    exec、noexec:执行权限是否可用
    auto、noauto:开机是否自动挂载
    acl、noacl:是否支持facl
    mount命令查看分区支持的属性

    sudo:以管理员身份,不用输入管理员密码,不是所有命令都能使用,需要授权
    修改sudo配置文件对用户授权:visudo会对语法检查
    配置文件:vim /etc/sudoers

    pam身份验证:

    pam手册:firefox /usr/share/doc/pam-0.99.6.2/html/Linux-PAM_SAG.html
    pam日志:/var/log/secure
    PAM:可插入式验证模块
    查看pam:ldd /usr/sbin/sshd | grep pam
    pam模块存放位置:ls /lib/security/
    修改服务支持的pam:vim /etc/pam.d/sshd ls /etc/pam.d/
    第一列为验证类型:auth、account 用户名密码、除用户名密码以外对登录起决定性作用的(time,network等) 决定是否可以验证成功
    password、session 用户修改密码时和会话
    第二列为验证条件:required //必要条件(必须满足)不会返回错误,会继续检查下面的条件
    requisite //必要条件,但会返回错误,不会再检查下面相同的验证类型
    sufficient //充分条件,会忽略错误,但成功后停止验证
    optional //对最终结果无影响
    include //后面跟文件,引入公共的文件
    第三列为匹配的模块或文件等

    实例:

    1、设置root用户不能在那些终端登录:
    删除/etc/securetty文件中的某个终端即可
    2、设置登录的环境变量:/etc/security/pam_env.conf
    3、/etc/pam.d/system-auth文件中
    auth pam_unix.so //验证用户名和密码
    account pam_unix.so //验证用户过期等策略
    4、pam_nologin.so 配置上此模块后,只要/etc/nologin文件存在,则非root用户不可登录
    5、pam_rootok.so 判断当前用户身份模块
    6、在/etc/pam.d/login配置文件中添加上下面的认证模块后:
    auth required pam_access.so
    就可以在/etc/security/access.conf文件中设置某些用户可以登录的终端
    -:root:tty1
    在/etc/pam.d/vsftpd文件中配置上pam_access.so模块后,可控制不能登录ftp的终端
    7、pam_echo.so模块可给用户提供友好提示等,经常应用在ftp、ssh、passwd等中
    用法:session optional pam_echo.so file=存放提示文件的路径
    8、pam_time.so此模块可以控制登录的时间
    配置文件:/etc/security/time.conf
    login;tty;user;Al1100-1830
    /etc/pam.d/login:account requisite pam_time.so debug(可选)
    9、pam_tally.so模块可让用户错误登录几次以上就锁定多长时间
    auth required pam_tally.so deny=3 nulock_time=20
    10、pam_limits.so模块可以控制用户使用的系统资源(可用于对磁盘,内存,进程等限制)
    session required pam_limits.so
    配置文件:/etc/security/limits.conf

    pam+mysql+vsftp:

    使vsftp的虚拟用户存在mysql中,并通过pam来做认证:
    先安装yum install mysql-devel
    解压pam认证模块:tar xvzf pam_mysql-0.7RC1.tar.gz
    进入解压目录: pam_mysql-0.7RC1编译
    ./configure --with-openssl
    make && make install
    安装完成后会在/usr/lib/security/目录下产生pam_mysql.so模块文件
    做一个连接:ln -s /usr/lib/security/pam_mysql.so /lib/security/pam_mysql.so
    注意:如果在编译前已经安装好mysql则会直接生成在/lib/security/目录下
    创建一个必要的本地用户:useradd -s /sbin/nologin virtual
    登录mysql创建库和表:
    create database vsftpd;
    create table users(username varchar(20) not null,password varchar(40) not null,primary key(username)) type=myisam;
    insert into users values('vu1','123');
    让本地用户能读取表中内容:
    grant select on vsftpd.users to virtual@localhost identified by '123456';
    flush privileges;
    配置vsftpd的pam认证:
    vim /etc/pam.d/vsftpd_mysql
    auth required pam_mysql.so user=virtual passwd=123456 host=localhost db=vsftpd table=users usercolumn=username passwdcolumn=password crypt=0
    account required pam_mysql.so user=virtual passwd=123456 host=localhost db=vsftpd table=users usercolumn=username passwdcolumn=password crypt=0
    配置vsftpd配置文件:vim /etc/vsftpd/vsftpd.conf
    pam_service_name=vsftpd_mysql
    guest_enable=YES //开启虚拟用户功能
    guest_username=virtual //指定虚拟用户使用的系统用户
    virtual_use_local_privs=YES //此处为YES时,虚拟用户使用与本地用户相同的权限,为NO时,使用匿名帐户的权限
    重启vsftpd服务

  • 相关阅读:
    第二次作业
    自我介绍
    《JavaScript高级程序设计》读书笔记
    三种清理浮动的方式
    简单的水平导航条
    CSS——关于列表和导航条菜单之垂直菜单制作
    css中关于超链接的部分学习心得
    dubbox分布式框架 和相关依赖
    IO操作
    POI动态生成Excel
  • 原文地址:https://www.cnblogs.com/super-sos/p/8906565.html
Copyright © 2020-2023  润新知