管控Linux登錄之門

在早期的Linux版本中，賬戶密碼信息是保存在“/etc/passwd”文件中的。在之后的版本中，將上述密碼文件的第二列密碼串保存在了“/etc/shadow”文件中，同時定義了和密碼有效性相關(guān)的策略。在“/etc/shadow”中，每行賬戶信息包含八列，前兩個為用戶名、密碼哈希串，之后的信息表示密碼的有效性信息，即密碼的時效設(shè)置。依次包括最后一次密碼修改時間（距離1970年1月1號的天數(shù)），密碼每兩次修改的間隔時間（默認為0，表示可以隨時修改密碼），用戶多長時間可以不更改密碼，密碼過期前警告，距離密碼鎖定時間，賬號有效期等。

設(shè)置密碼有效性

使用Chage命令，可以調(diào)整密碼有效性參數(shù)。執(zhí)行“chage -m 3 -M 60 -W 7 -I 10 user1”命令，針對User1賬戶規(guī)定每隔60天密碼必須修改一次，兩次密碼修改之間至少間隔3天，密碼過期前7天發(fā)出警告，之后經(jīng)過經(jīng)過10天賬戶被鎖定。執(zhí)行“chage -l user1”命令，可以查看User1賬戶的密碼有效性信息。執(zhí)行“chage -d 0 user1”命令，表示當User1用戶登錄后，必須立即修改密碼。

在“/etc”目錄下存在名為“l(fā)ogin.defs”的文件，在其中存儲默認的密碼有效性策略。當使用Useradd等命令創(chuàng)建用戶賬號時，會參考該文件，直接將密碼有效性信息寫入到“/etc/shadow”文件中。

設(shè)置默認密碼策略

對于“l(fā)ogin.defs”文件進行相應(yīng)的修改，那么只要創(chuàng)建新的賬戶，其密碼策略就必須符合默認條件。執(zhí)行“vim/etc/login.defs”命令，可以查看其默認的策略值。

例如，對于“PASS_MAX_DAYS”來說，可以將其設(shè)置為60，每隔60天必須修改密碼。對于“PASS_MIN_DAYS”來說，可以將其值修改為3，表示每次密碼修改的間隔為 3天，對于“PASS_MIN_LEN”來說，可以將其值修改為7，表示密碼必須為7位，將“PASS_WARN_AGE”來 說，將其值修改為7，可以提前7天提示用戶修改密碼。這樣，創(chuàng)建賬戶時，必須使用上述策略。

使用PAM管理用戶登錄

為了進一步提高密碼的安全性，可以使用PAM（Plugable Authentication Modules，可插入認證模式）對用戶登錄進行監(jiān)控。利用PAM機制，可以將各種認證手段轉(zhuǎn)變成了可任意轉(zhuǎn)換的模塊，使您可以自由使用合適的認證方法。

PAM是為了實現(xiàn)第三方的認證，而開發(fā)的一套認證體系。PAM可以實現(xiàn)動態(tài)控制，只需安裝一個新的模塊，就可以增加新的認證方法，對目標程序的PAM認證參數(shù)進行修改，就可以立即生效。PAM的認證通過一系列的動態(tài)庫，這些動態(tài)庫提供在用戶登錄時的一些會話函數(shù)，提供密碼輸入界面，執(zhí)行具體的認證操作，并通知用戶登錄成功與否。

自從PAM支持第三方認證之后，順便也將標準的Linux認證嵌入了進去。因此，PAM已經(jīng)和系統(tǒng)實現(xiàn)了高度集成。

執(zhí)行“l(fā)s /lib64/security”命令，可以查看所有的PAM動態(tài)庫。執(zhí)行“l(fā)s/etc/pam.d”命令，可以查看與PAM動態(tài)相關(guān)的配置文件。

在每個PAM模塊的配置文件中均包含以下四個部分或者某幾個部分，其中的“auth”部分用來進行賬戶認證，即確認用戶是否是其本身，應(yīng)用程序是依靠正確的賬戶名和密碼進行判斷的。“account”部分用來判斷賬號的有效性，在有些情況下，即使輸入了正確的密碼，也未必可以登錄系統(tǒng)，因為對應(yīng)的賬號可能已經(jīng)被管理員鎖定，或者已經(jīng)過期等。即，賬號處于正常健康的狀態(tài)，才可以通過該部分的認證?！皃assword”部分轉(zhuǎn)用于修改密碼之用，主要用途是如何讓用戶將密碼修改的符合管理員要求?！皊ession”部分用來管理會話控制，利用Session控制，可以在用戶登錄系統(tǒng)的時刻，限制用戶可以使用的資源，例如控制其CPU、內(nèi)存使用量、最大文件打開數(shù)量等。

設(shè)置PAM登錄認證模塊

在“/etc/pam.d”目 錄下執(zhí)行“vim login”命令，可以查看和系統(tǒng)登錄相關(guān)的配置信息。在不同的檢查部分中對應(yīng)有不同的行為，對于“required”項，表示對應(yīng)的檢查部分必須符合PAM的要求，如果檢測失敗，則整體處于失敗狀態(tài)，但是并不立即退出PAM檢查，會依次往后檢測其他模塊。如果設(shè)置為“requisite”，表示如果該項檢測失敗，則立即退出。如果設(shè)置為“sufficient”，表示直到檢測到本環(huán)節(jié)，之前的檢測部分全部通過，如果滿足當前的檢測項目，立即成功完成整個PAM檢測。如果本檢測項目不通過，則對整個檢測沒有任何影響。如果設(shè)置為“optional”，表示當前的檢測對整體沒有任何影響，僅僅執(zhí)行本環(huán)節(jié)的檢測而已。如果要想實現(xiàn)不同PAM模塊之間的嵌套，需要使用“Include”關(guān)鍵字。例如“auth include systemauth”語句，就調(diào)用了名為“system-auth”認證檔案規(guī)范文件，并依次執(zhí)行該文件中包含的檢測項目。

使用認證檔案規(guī)范文件

在 Linux中， 存在“system-auth” 和“password-auth”這 兩個最常用的認證檔案規(guī)范文件。前者主要用來執(zhí)行本地認證，后者主要用來控制遠程認證。例如，對于SSHD、Login、gdm等登錄方式來說，都會使用到上述兩種認證檔案規(guī)范文件。檢測賬戶密碼強壯性，一般使用的是“pam_cracklib.so”的PAM模塊文件，用來提示用戶輸入密碼，檢測密碼是否符合要求等。

對于“password requisite pam_cracklib.so try_first_pass retry=3 type=welcome”，堪稱經(jīng)典常用的Linux密碼強壯度檢測語句，只允許嘗試3次密碼，并顯示提示信息“welcome”。在“pam_cracklib.so”模塊中有一些選擇可以靈活設(shè)置，例如“minlen”項可以設(shè)置密碼最小長度，長度值從0算起。“l(fā)credit”，“ucredit”，“dcredit”，“ocredit” 等項分別表示小寫、大寫、數(shù)字，其他特殊字符等密碼組成格式。“minclass”項表示使用上述哪些類別組成密碼。

規(guī)范文件使用方法

對于“password requisite pam_cracklib.so try_first_pass retry=3 type= ocredit=-1 dvredit=-2 minlen=10”語句，密碼必須包含至少一個其他字符，至少包含兩個數(shù)字，總長度為10位。

對于“password requisite pam_cracklib.so try_first_pass retry=3 type= ocredit=2 dvredit=2 minlen=12”語句，只要屬于一個特殊字符，就當作兩個字符處理，輸入一個數(shù)字字符，就當作兩個字符處理，而且密碼長度為12位。如果輸入的全是特殊字符和數(shù)字，僅僅需要輸入6個字符，就可以滿足要求。

為了防止別人不斷地嘗試密碼來入侵系統(tǒng)，需要對登錄進行監(jiān)控和審計。使用“pam_tally2.so” 的PAM模塊，可以有效抗擊密碼的暴力破解。當使用者連續(xù)輸錯密碼后，就將其鎖定一段時間。

使用VIM命令，對“/etc/pam.d”目錄下的“systemauth” 和“password-auth”文件進行修改，在其中的“auth required pam_env.so”語句后面添加“auth required pam_tally2.so deny=3 unlock_time=120”語句，在“account required pam_unix.so”語句上面添加“account required pam_tally2.so”語句，如果使用者連續(xù)3次輸錯密碼，則將其鎖定120秒，之后輸入了正確的密碼，或者進行了賬戶轉(zhuǎn)換，可以對其進行有效性檢測?？梢栽诿钚兄袌?zhí)行“pam_tally2”命令，查看失敗登錄的日志信息。如果想解除某賬戶的鎖定狀態(tài)，可以執(zhí)行“pam_tally2 –reset –u user1”命令，將User1賬戶解鎖，可以再次登錄系統(tǒng)。

管理登錄會話

對于Session會話控制來 說，在“/etc/security”目錄中存放這與其相關(guān)的PAM控制文件。打開其中的“l(fā)imits.conf”文件，可以看到很多配置信息，用來限制用戶在登錄時可以使用的系統(tǒng)資源。

“fsize”項表示最大建立的文件尺寸，“nofile”項表示最多打開的文件數(shù)量，“rss”項表示占用的物理內(nèi)存大小，“as”項表示虛擬內(nèi)存地址，“cpu”項表示用戶發(fā)起一個進程允許使用CPU 的最長時間，“nproc”項表示最多啟用的進程數(shù)量，“maxlogins”項表示在系統(tǒng)中允許登錄相同賬戶的數(shù)量等。當然，用戶可以執(zhí)行“ulimit -a”命令，來查看自己的資源限制情況。