基于PAM認(rèn)證模塊的用戶安全訪問與控制

徐紅梅

摘要：隨著計(jì)算機(jī)網(wǎng)絡(luò)的大范圍普及，人們開發(fā)了許多新的驗(yàn)證方法，如何靈活地運(yùn)用這些新的驗(yàn)證方法是可拔插模塊（PAM）項(xiàng)目應(yīng)運(yùn)而生的重要原因。PAM將系統(tǒng)提供的服務(wù)和該服務(wù)的認(rèn)證方式分開，使系統(tǒng)管理員可以根據(jù)需要給服務(wù)配置不同的認(rèn)證方式。本文通過配置實(shí)例介紹了PAM在linux系統(tǒng)下如何對(duì)用戶加強(qiáng)安全訪問與控制。具有較強(qiáng)的使用價(jià)值。

關(guān)鍵詞：PAM 安全訪問 配置文件

中圖分類號(hào)：TP316.81 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2014）12-0178-02

1 PAM簡介

一般的，一個(gè)應(yīng)用程序需要對(duì)用戶進(jìn)行驗(yàn)證，通常要連同實(shí)現(xiàn)驗(yàn)證方法的代碼作為應(yīng)用程序的一部分一起編譯到應(yīng)用程序中，例如javascript等。這種方式帶來的問題是：如果發(fā)現(xiàn)所用算法存在某些缺陷或想采用另一種驗(yàn)證方法時(shí)，用戶需重新修改或替換應(yīng)用程序并重新編譯程序。為了讓驗(yàn)證方法更具靈活性，人們開發(fā)了許多新的驗(yàn)證方法，例如可拔插驗(yàn)證模塊（Pluggable Authentication Modules）簡稱PAM。引入PAM后，一方面將驗(yàn)證機(jī)制從應(yīng)用程序中獨(dú)立出來，單獨(dú)進(jìn)行模塊化設(shè)計(jì)，便于實(shí)現(xiàn)和維護(hù)，另一方面，也為這些認(rèn)證模塊建立了標(biāo)準(zhǔn)API，以便個(gè)應(yīng)用程序能方便的使用PAM提供的各種功能；同時(shí)，驗(yàn)證機(jī)制對(duì)其上層的應(yīng)用程序和最終用戶都是透明的。

2 PAM組成和運(yùn)行機(jī)制

PAM由PAM核心和PAM模塊組成。負(fù)責(zé)調(diào)用PAM模塊核心庫/lib/libpam.so。

PAM有4種模塊類型，分別代表4種不同的任務(wù)：驗(yàn)證管理，賬戶管理，會(huì)話管理和口令管理分別表示為auth、 account、 session、 password。

每個(gè)使用PAM功能的應(yīng)用程序都必須連接PAM核心庫文件才能要求PAM實(shí)施驗(yàn)證。要檢查一個(gè)應(yīng)用程序是否使用了PAM驗(yàn)證，可以使用ldd命令檢查是否連接PAM的核心庫，通常，將要使用PAM驗(yàn)證功能的應(yīng)用程序稱為PAM客戶端。

一個(gè)應(yīng)用程序調(diào)用PAM時(shí)過程如圖1所示：

3 PAM客戶端配置文件和常用的PAM模塊說明

PAM的目標(biāo)就是為系統(tǒng)管理提供最大限度的靈活性。系統(tǒng)管理者可以通過/etc/pam.d目錄下的配置文件來設(shè)置應(yīng)用程序驗(yàn)證?？稍?etc/pam.d/login來查看配置文件內(nèi)容。下面如表1列出本文中使用的PAM模塊并對(duì)其簡要說明，更多的模塊說明需查閱PAM文檔。

4 PAM認(rèn)證模塊在賬戶安全訪問與控制

針對(duì)用戶賬號(hào)和密碼的攻擊是黑客入侵系統(tǒng)的主要手段之一，一個(gè)使用弱密碼或設(shè)置不適當(dāng)權(quán)限的用戶賬號(hào)，將給系統(tǒng)留下重大的安全隱患，入侵者可以通過這些用戶賬號(hào)進(jìn)入系統(tǒng)并進(jìn)行權(quán)限擴(kuò)張。所以管理員應(yīng)必須用必要的技術(shù)手段強(qiáng)制用戶使用強(qiáng)壯密碼并定期更改定期檢查系統(tǒng)中的所有賬號(hào)，保證系統(tǒng)用戶賬號(hào)和密碼安全。下面使用PAM認(rèn)證模塊對(duì)用戶賬戶安全進(jìn)行一些配置。

4.1 限制用戶口令的重復(fù)使用

驗(yàn)證類口令的PAM模塊是由pam_unix.so提供，此模塊可用于auth，account，password，session驗(yàn)證類型。作為auth類型使用時(shí)，其主要功能是驗(yàn)證用戶密碼的有效性。在缺省情況下其功能是禁止密碼 為空的用戶提供服務(wù)；作為account類型使用時(shí)，其主要功能是執(zhí)行建立用戶賬號(hào)和密碼狀態(tài)的任務(wù)，然后執(zhí)行提示用戶修改密碼，用戶采用新密碼后才提出供服務(wù)類的任務(wù)；作為password類型使用時(shí)，其主要功能是完成讓用戶更改密碼的任務(wù)；作為session類型使用時(shí)，其主要功能是僅僅完成記錄用戶名和服務(wù)名到日志文件的工作。

限制用戶口令重復(fù)時(shí)，pam_unix.so模塊可作為password類型使用，其下參數(shù)remember=n，會(huì)將n個(gè)使用過的舊密碼，以MD5的方式加密后保存到/etc/security/opasswd文件中。

配置實(shí)例：可修改system-auth配置文件，避免用戶重復(fù)是哦那個(gè)最近4次設(shè)置的口令。

password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok

添加參數(shù)remember =4.

4.2 用戶登錄訪問控制

此類訪問控制由pam_acccess.so模塊提供，主要用于對(duì)訪問進(jìn)行管理，提供基于登錄名、主機(jī)名或域名、公網(wǎng)IP地址或網(wǎng)絡(luò)，以及非網(wǎng)絡(luò)登錄時(shí)的tty名稱的訪問控制。該模塊默認(rèn)的配置文件為/etc/security/access.conf，也可以使用模塊參數(shù)accessfile=指定配置文件。

配置實(shí)例：禁止root用戶從tty2上登錄，用戶xhm97可以在除tty5本地終端之外的所有終端登錄系統(tǒng)。

首先，修改login的PAM配置文件/etc/pam.d/login ，增加配置行

account required pam_access.so

其次，修改配置文件/etc/security/access.conf ，增加配置行

-：root：tty2 #第一個(gè)冒號(hào)前“-”代表拒絕，冒號(hào)后代表用戶，第二個(gè)冒號(hào)后代表來源，可以是主機(jī)名域名等

-：xhm97：LOCAL EXCEPT tty5#第一個(gè)冒號(hào)前“-”代表拒絕，冒號(hào)后代表用戶，第二個(gè)冒號(hào)后代表來源，可以是主機(jī)名域名等

4.3 用戶登錄失敗后的賬戶鎖定

為了避免用戶口令被暴力破解，應(yīng)設(shè)置在登錄失敗若干次之后鎖定賬戶，這可以通過設(shè)置pam_tally2.so模塊實(shí)現(xiàn)。

配置實(shí)例：設(shè)置在登錄失敗5次之后禁止登錄。

首先修改system-auth配置文件，在代碼行增加配置行

auth required pam_tally2.so deny=5 onerr=fail

其次在account 類型配置段后增加配置行

account required pam_tally2.so

pam_tally2模塊將用戶失敗的登錄次數(shù)記錄于二進(jìn)制文件/var/log/tallylog中，可使用/sbin/pam_tally2命令查看。

以上配置實(shí)例是PAM認(rèn)證模塊在賬戶安全和訪問控制配置的個(gè)例，在用戶安全和訪問控制中還要考慮到用戶口令強(qiáng)壯性，限制用戶或組同時(shí)登錄，限制用戶使用su命令，禁止或允許列表實(shí)現(xiàn)訪問控制等等一系列安全問題均可以用PAM模塊解決。

5 PAM認(rèn)證模塊的其他應(yīng)用

PAM認(rèn)證模塊在服務(wù)器配置可實(shí)現(xiàn)服務(wù)的認(rèn)證，如rsh服務(wù)，ftpd服務(wù)等。以ftpd服務(wù)為例，通過/etc/pam.conf配置ftpd的認(rèn)證方式。

（1）使用配置文件/etc/pam.conf說明。PAM的配置的主配置文件/etc/pam.conf，該文件是由如下的行所組成的：

service-name module-type control-flag module-path arguments

service-name 服務(wù)的名字，比如telnet、login、ftp等，服務(wù)名字“OTHER”代表所有沒有在該文件中明確配置的其它服務(wù)。

（2）用/etc/pam.conf配置默認(rèn)的認(rèn)證方式。通過OTHER拒絕所有沒有在/etc/pam.conf中明確配置的服務(wù)。下面例子顯示拒絕了所用在/etc/pam.conf沒有明顯配置的服務(wù)，其中pam_deny模塊的作用是拒絕通過認(rèn)證。

配置實(shí)例

OTHER auth required /usr/lib/security/pam_deny.so

OTHER account required /usr/lib/security/pam_deny.so

OTHER password required /usr/lib/security/pam_deny.so

OTHER session required /usr/lib/security/pam_deny.so

（3）通過/etc/pam.conf配置ftpd的認(rèn)證方式。首先用pam_ftp模塊檢查當(dāng)前用戶是否為匿名用戶，如果是匿名用戶，則 sufficient控制標(biāo)志表明無需再進(jìn)行后面的認(rèn)證步驟，直接通過認(rèn)證；否則繼續(xù)使用pam_unix_auth模塊來進(jìn)行標(biāo)準(zhǔn)的unix認(rèn)證，即用/etc/ passwd和/etc/shadow進(jìn)行認(rèn)證；通過了pam_unix_auth模塊的認(rèn)證之后，還要繼續(xù)用pam_listfile模塊來檢查該用戶是否出現(xiàn)在文件/etc/ ftpusers中，如果是則該用戶被deny掉

ftpd auth sufficient /usr/lib/security/pam_ftp.so

ftpd auth required /usr/lib/security/pam_unix_auth.so use_first_pass

ftpd auth required /usr/lib/security/pam_listfile.so ＼

onerr=succeed item=user sense=deny file=/etc/ftpusers

6 結(jié)語

PAM模塊的引入使驗(yàn)證方法更具有靈活性，若對(duì)加強(qiáng)系統(tǒng)管理的安全性有更高要求時(shí)，需查閱PAM文檔，配置PAM模塊的參數(shù)來滿足系統(tǒng)用戶安全防范。

參考文獻(xiàn)

[1]余柏山.Linux系統(tǒng)管理與網(wǎng)絡(luò)管理[M].清華大學(xué)出版社，2010（1）.

[2]梁如軍等.Linux應(yīng)用基礎(chǔ)教程：Red Hat Enterprise Linux/CentOS 5[M].機(jī)械工業(yè)出版社，2012（1）.

[3]趙岸，吳曉平，歐慶于.一種基于Linux-PAM模塊的身份驗(yàn)證方法[J].計(jì)算機(jī)與數(shù)字工程，2007（11）：57-58+110+5.endprint