pam
上一篇 / 下一篇 2007-11-19 10:28:49 / 个人分类:技术
# bytes with extra credit of 2 for digits and 2 for others the new
# password must have at least three bytes that are not present in the
# old password
#
password required pam_cracklib.so
difok=3 minlen=15 dcredit= 2 credit=2
password required pam_pwdb.so use_authtok nullok md5
6.4 拒绝模块
6.4.1 概要
模块名
pam_deny
作者
Andrew G. Morgan
维护者
当前Linux-PAM的维护者。
提供的管理组功能
account、authentication、password、session
clean code base
clean
6.4.2 综述
这个模块能够用来拒绝任何访问。它是向应用程序反馈验证失败的信息。这个模块比较适合于other文件。
6.4.3 帐户组件
描述
这个组件只是返回一个失败信息。失败的类型是PAM_ACCT_EXPIRED。
示例和建议
应用程序是通过引用Linux-PAM的帐户管理函数pam_acct_mgmt(),让用户获得系统的访问权。但是,如果把这个模块和account类型的模块层叠,用户将不能通过应用程序获得系统访问权。
下面的配置行将使任何用户都无法登录:
# add this line to your other login entries to disable all accounts
#
login account required pam_deny.so
6.4.4 验证组件
描述
这个组件只是返回失败信息,错误类型取决于应用程序调用的函数。如果应用程序试图调用pam_authenticate()函数验证用户,则失败类型是PAM_AUTH_ERR;如果应用程序调用pam_setcred()函数,以建立和设置用户的验证凭证,则失败类型是PAM_CRED_UNAVAIL。
示例和建议
如果想使应用程序拒绝为用户提供服务,可以在配置文件中加入以下配置行:
# add this line to your existing OTHER entries to prevent
# authentication succeeding with default applications.
#
OTHER auth required pam_deny.so
6.4.5 密码组件
描述
这个组件能够拒绝用户修改密码。如果收到修改密码的企图,它将返回PAM_AUTHOK_ERR类型的失败信息。
示例和建议
这个组件用于阻止应用程序改变用户的密码。例如,为了阻止login在旧密码失效时,自动提示用户输入新的密码,你可以在配置文件中加入以下配置行:
# add this line to your other login entries to prevent the login
# application from being able to change the user's password.
#
login password required pam_deny.so
6.4.6 会话组件
描述
deny模块的这个组件能够阻止应用程序在主机上启动会话过程。
示例和建议
这个模块能够阻止用户启动一个shell。如果和pam_motd模块层叠,我们可以在配置文件中加入以下配置行,告诉用户现在是系统维护时间:
# An example to see how to configure login to refuse the user a
# session (politely)
#
login session required pam_motd.so
file=/etc/system_time
login session required pam_deny.so
6.5 环境变量设置/取消模块
6.5.1 概要
模块名
pam_env
作者
Dave Kinchlea
维护者
作者
提供的管理组类型
authentication(setcred)
系统依赖性
/etc/security/pam_env.conf
6.5.2 综述
使用这个模块可以设置/取消环境变量的定义。
6.5.3 验证组件
能够识别的参数
debug、conffile=configuration-file-name、envfile=/env-file-name、readenv=/0|1
描述
你可以使用固定的字符串通过这个模块设置变量或者取消对环境变量的设置。设置的环境变量值和PAM_ITEM是与或者或的关系。
这些由一个配置文件控制,默认情况下,配置文件是/etc/security/pam_env.conf。不过,可以通过connfile文件指定其它的配置文件。配置文件的每个配置行都是以环境变量名开头,接着是两个选项:DEFAULT、OVERRIDE。DEFAULT表示:把这个变量设置为默认值,如果不存在就把它的值设置为一个空字符串。OVERRIDE表示:使用新的值得覆盖默认值。如果OVERRIDE之后,没有定义变量值,就假定是空字符串,而且不会执行覆盖动作。
VARIABLE [DEFAULT=[value]] [OVERRIDE=[value]]
环境变量可以以$(string)的语法使用,而PAM_ITEM可以通过@(string)的语法使用。如果string中含有$、@字符,需要在前面加上反斜杠作为转义符,例如:$。当需要空格时,可以使用引号,但是空格不能环境变量的名字中出现。环境变量的值必须以引号分割。
这个模块也能够以KEY=VAL对的方式解析文件,每个KEY=VAL对占一行,默认文件是/etc/environment。你可以使用envfile选项改变需要解析的文件,使用readenv选项打开/关闭解析的文件。
这个模块的行为可以修改以下参数来设置:
debug
向syslog写入更多信息。
confile=filename
默认配置文件是/ec/security/pam_env.conf。这个选项指定的文件可以覆盖默认文件。不过,你必须使用完整的文件路径。
envfile=filename
默认是/etc/environment,使用这个选项指定其它的文件。也需要使用完整的文件路径。
readenv=0|1
打开(1)/关闭(0)从envfile中读取环境变量。默认情况下,这个选项为开(1)。
示例和建议
参考/etc/security/pam_env.conf文件。
6.6 过滤模块
6.6.1 概要
模块名
pam_filter
作者
Andrew G. Morgan
维护者
作者
提供的管理组功能
account、authentication、password、session
Clean code base
This module compiles cleanly on Linux based systems.
系统依赖性
需要安装pam_filter程序。
6.6.2 综述
这个模块为应用程序提供了一个插入式的过滤器。由于为某个程序重新编写过滤代码实现过滤功能是不太现实的,简直是开玩笑。这个模块能够对输入流中的大小写字符进行替换,然后输出到输出流。
6.6.3 Account+Authentication+Password+Session组件
能够识别的参数
debug、new_term、non_term、runX
描述
这个模块的所有组件都可能会执行所需要的过滤程序。过滤程序是以调用的程序的权限运行的,而不是以用户的权限运行。因此,普通用户只能关闭他们的会话过程才能杀死过滤进程。
pam_filter模块的行为可以由Linux-PAM配置文件传递的参数改变:
debug
模块运行时,syslog记录更多的信息。
new_term
作为一种默认的行为,过滤器会设置PAM_TTY选项,指示用户与应用程序进行联系的终端。这个参数表示过滤程序应该把PAM_TTY设置为被过滤的伪终端。
no_term
不必设置PAM_TTY选项。
runX
为了使这个模块能够执行一个过滤程序,应该让它知道何时执行。可以使用这个参数实现上述目的。这个参数紧跟过滤程序的路径名以及其命令行参数。
X的值可以是1和2。它表示过滤程序运行的确切时间。对于每种管理组功能,它会牵扯到不同的函数调用。
在authentication和session组件中,分别牵扯到两个函数。对于authentication管理组,这两个函数是_authenticate和_setcred。run1表示从_authenticate函数运行过滤程序;run2表示从_setcred函数运行过滤程序。对于session管理组,run1表示过滤程序从_open_session函数运行;run2是从_close_session函数运行。
对于account组件,run1和run2是一样的。
对于password管理组组件,run1表示过滤程序在_chauthtok函数首次运行时(PAM_PRELIM_CHECK阶段)执行;而run2表示过滤程序是在_chauthtok第二次运行时(PAM_UPDATE_AUTHOK阶段)执行。
示例和建议
你可以在login的配置文件(/etc/pam.d/login)中加入下面入口,实际尝试一下这个模块的应用:
# An example to see how to configure login to transpose upper and
# lower case letters once the user has logged in(!)
#
login session required pam_filter.so
run1 /usr/sbin/pam_filter/upperLOWER
6.7 匿名访问模块
6.7.1 概要
模块名
pam_ftp
作者
Andrew G. Morgan
维护者
作者
提供的管理组功能
authentication
网络支持
提示用户输入email地址
6.7.2 综述
这个模块的用途是提供一种插入式的匿名FTP访问模式。
6.7.3 authentication组件
能够识别的参数
debug、users=xxx,yyy,....、ignore
描述
这个模块解释用户名和密码,如果用户名是ftp或者anonymous,而用户的密码是以@分割的,它就会把@前后两部分分别设置为PAM_RUSER和PAM_RHOST选项的值。用户名被设置为ftp。模块验证成功。在其它情况下,这个模块就会通过PAM_AUTHTOK选项返回需要输入密码和验证失败的信息。
这个模块的行为可以使用如下参数修改:
debug
向syslog输出调试信息
users=xxx,yyy,....
使用等号之后给出的用户名代替ftp或者anonymous,作为匿名FTP的用户名。
ignore
不理会用户没有email地址。
示例和建议
在第四章中,有一个使用匿名FTP模块的例子。
6.8 组访问模块
6.8.1 概要
模块名
pam_group
作者
Andrew G. Morgan
维护者
作者
提供的管理组功能
suthentication
系统依赖性
需要/etc/security/group.conf文件。可以与libpwdb连接。
网络支持
只能通过正确设置PAM_TTY选项。
6.8.2 综述
这个模块根据用户名和发起服务请求的终端,提供组分类功能。
6.8.3 authentication组件
描述
这个模块不对用户进行验证,而是为用户赋予组成员关系。这种组成员关系是根据用户请求的服务划分的,在/etc/security/group.conf文件中以文本的方式设置。
示例和建议
想要这个模块正常工作,需要准确设置/etc/security/group.conf文件。其格式如下:
services; ttys; users; times; groups
前四项和pam_time配置文件:/etc/security/pam_time.conf或者time.conf中的相同。groups是一些以逗号或者空格分开的文本字符串,表示一些组名。如果用户的应用程序满足前四项,则用户就被加入到第五项定义的组中。
这个模块能否起作用取决于用户对文件系统的访问权限。这一点是指,一旦用户成为一个组的成员,这个用户就可能利用获得的权限试图建立一个setgid程序。而以后,如果这个用户不再属于这个组,他就可以通过这个程序非法回到这个组中。由于这个原因,用户具有写权限的文件系统需要非常严格的限制,如果文件系统在mount时,被设置为nosuid,那用户就无法建立和执行这样的程序。因此,使用这个模块时,用户具有写权限的所有文件系统都需要使用nosuid参数mount。
pam_group的作用和/etc/group文件是并行的,如果用户被加入的这个模块定义的任何组中,同时也被加入到/etc/group文件中;反之亦然。
6.9 issue模块
6.9.1 概要
模块名
pam_issue
作者
Ben Collins
维护者
作者
提供的管理组功能
authentication(pam_sm_authenticate)
6.9.2 综述
这个模块能够在提示信息中,加入一个文件的内容。
6.9.3 authentication组件
能够识别的参数
issue=issue-file-name、noesc
描述
你可以使用这个模块在用户提示信息中加入一个issue文件的内容。这个模块还可以解析issue文件中的转义词,例如:x。
有效的转义码如下:
d: 当前的日期
s: 操作系统名
l: 这个终端名
m: 系统的体系(i686、spacr、pwerpc、....)
n: 系统主机名
o: 系统域名
r: 操作系统版本号
t: 当前时间
u: 当前登录的用户数
U: 和u相同,只有后缀有所不同:u的后缀是user;U的后缀是users。
v: 操作系统的版本/建立日期
这个模块的行为可以通过一下参数修改:
issue: 指定使用的文件
noesc: 关闭对转义词的解析
示例和建议
login auth pam_issue.so issue=/etc/issue
TAG: