分享交流
合作共赢!

Linux安全策略配置之PAM身份验证模块使用方法总结【亲测可用】

一、PAM简介

Linux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。Linux-PAM是一套适用于Linux的身份验证共享库系统,它为系统中的应用程序或服务提供动态身份验证模块支持。在Linux中,PAM是可动态配置的,本地系统管理员可以自由选择应用程序如何对用户进行身份验证。PAM应用在许多程序与服务上,比如登录程序(login、su)的PAM身份验证(口令认证、限制登录),passwd强制密码,用户进程实时管理,向用户分配系统资源等。

PAM的主要特征是认证的性质是可动态配置的。PAM的核心部分是库(libpam)和PAM模块的集合,它们是位于文件夹/lib/security/中的动态链接库(.so)文件,以及位于/etc/pam.d/目录中(或者是/etc/pam.conf配置文件)的各个PAM模块配置文件。/etc/pam.d/目录中定义了各种程序和服务的PAM配置文件,其中system-auth文件是PAM模块的重要配置文件,它主要负责用户登录系统的身份认证工作,不仅如此,其他的应用程序或服务可以通过include接口来调用它(该文件是system-auth-ac的软链接)。此外password-auth配置文件也是与身份验证相关的重要配置文件,比如用户的远程登录验证(SSH登录)就通过它调用。而在Ubuntu、SuSE Linux等发行版中,PAM主要配置文件是common-auth、common-account、common-password、common-session这四个文件,所有的应用程序和服务的主要PAM配置都可以通过它们来调用。

使用如下命令判断程序是否使用了PAM:

root@HMing ~ # ldd /usr/bin/passwd | grep libpam
libpam_misc.so.0 => /lib64/libpam_misc.so.0 (0x00007fb74f748000)
libpam.so.0 => /lib64/libpam.so.0 (0x00007fb74eb45000)

如看到有类似的输出,说明该程序使用了PAM,没有输出,则没有使用。

二、PAM身份验证配置文件

/etc/pam.d/目录包含应用程序的PAM配置文件。例如,login程序将其程序/服务名称定义为login,与之对应的PAM配置文件为/etc/pam.d/login。

三、PAM配置文件语法格式

每个PAM配置文件都包含一组指令,用于定义模块以及控制标志和参数。每条指令都有一个简单的语法,用于标识模块的目的(接口)和模块的配置设置,语法格式如下:

module_interface      control_flag      module_name  module_arguments

如在/etc/pam.d/password-auth-ac配置文件中(CentOS),其中一行PAM模块接口定义如下

PAM模块接口(模块管理组)

PAM为认证任务提供四种类型可用的模块接口,它们分别提供不同的认证服务:

√ auth – 认证模块接口,如验证用户身份、检查密码是否可以通过,并设置用户凭据
√ account – 账户模块接口,检查指定账户是否满足当前验证条件,如用户是否有权访问所请求的服务,检查账户是否到期
√ password – 密码模块接口,用于更改用户密码,以及强制使用强密码配置
√ session – 会话模块接口,用于管理和配置用户会话。会话在用户成功认证之后启动生效

单个PAM库模块可以提供给任何或所有模块接口使用。例如,pam_unix.so提供给四个模块接口使用。

四、PAM控制标志

所有的PAM模块被调用时都会返回成功或者失败的结果,每个PAM模块中由多个对应的控制标志决定结果是否通过或失败。每一个控制标志对应一个处理结果,PAM库将这些通过/失败的结果整合为一个整体的通过/失败结果,然后将结果返回给应用程序。模块可以按特定的顺序堆叠。控制标志是实现用户在对某一个特定的应用程序或服务身份验证的具体实现细节。该控制标志是PAM配置文件中的第二个字段,PAM控制标志如下:

> required – 模块结果必须成功才能继续认证,如果在此处测试失败,则继续测试引用在该模块接口的下一个模块,直到所有的模块测试完成,才将结果通知给用户。
> requisite – 模块结果必须成功才能继续认证,如果在此处测试失败,则会立即将失败结果通知给用户。
> sufficient – 模块结果如果测试失败,将被忽略。如果sufficient模块测试成功,并且之前的required模块没有发生故障,PAM会向应用程序返回通过的结果,不会再调用堆栈中其他模块。
> optional – 该模块返回的通过/失败结果被忽略。当没有其他模块被引用时,标记为optional模块并且成功验证时该模块才是必须的。该模块被调用来执行一些操作,并不影响模块堆栈的结果。
> include – 与其他控制标志不同,include与模块结果的处理方式无关。该标志用于直接引用其他PAM模块的配置参数

五、PAM配置方法

所有的PAM配置方法都在man手册中有说明,比如要查找某个程序支持PAM模块的配置,可以使用man 加模块名(去掉.so)查找说明,如# man pam_unix。(模块名可以在目录/lib/security/或/lib64/security/中找到。)

六、PAM身份验证安全配置实例

1、强制使用强密码(用户密码安全配置)

PAM配置文件:/etc/pam.d/system-auth-ac

模块名称:pam_cracklib(仅适用于password模块接口)

模块参数:

minlen=12       密码字符长度不少于12位(默认为9)
lcredit=-1      至少包含1个小写字母
ucredit=-1      至少包含1个大写字母
dcredit=-1      至少包含1个数字
ocredit=-1      至少包含1个特殊字符
retry=3         配置密码时,提示3次用户密码错误输入
difok=6         配置密码时,新密码中至少6个字符与旧密码不同(默认为5)

其他常用参数:

reject_username    新密码中不能包含与用户名称相同的字段
maxrepeat=N        拒绝包含超过N个连续字符的密码,默认值为0表示此检查已禁用
maxsequence=N      拒绝包含大于N的单调字符序列的密码,例如’1234’或’fedcb’,默认情况下即使没有这个参数配置,一般大多数这样的密码都不会通过,除非序列只是密码的一小部分
maxclassrepeat=N   拒绝包含相同类别的N个以上连续字符的密码。默认值为0表示此检查已禁用。
use_authtok        强制使用先前的密码,不提示用户输入新密码(不允许用户修改密码)

模块名称:pam_unix (适用于account,auth, password和session模块接口)

模块参数:

remember=N     保存每个用户使用过的N个密码,强制密码不能跟历史密码重复

其他常见参数:

sha512          当用户下一次更改密码时,使用SHA256算法进行加密
md5             当用户更改密码时,使用MD5算法对其进行加密。
try_first_pass  在提示用户输入密码之前,模块首先尝试先前的密码,以测试是否满足该模块的需求。
use_first_pass  该模块强制使用先前的密码(不允许用户修改密码),如果密码为空或者密码不对,用户将被拒绝访问
shadow          用户保护密码
nullok          默认不允许空密码访问服务
use_authtok     强制使用先前的密码,不提示用户输入新密码(不允许用户修改密码)

例如修改配置/etc/pam.d/system-auth-ac文件,在password模块接口行修改或添加配置参数如下:

password    requisite     pam_cracklib.so try_first_pass retry=3 type= reject_username minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 
ocredit=-1 difok=6

需要注意的是,我在这里展示的是在RHEL/CentOS下的配置,passwd程序的PAM配置文件涉及主配置文件/etc/pam.d/passwd和/etc/pam.d/system-auth-ac(也可以是/etc/pam.d/password-auth-ac),其中/etc/pam.d/passwd配置文件默认只包含了/etc/pam.d/system-auth-ac配置文件,因此对于以上PAM身份验证密码模块配置,只修改/配置该文件即可。或者在Ubuntu中,配置文件包括:/etc/pam.d/common-password、/etc/pam.d/common-account、/etc/pam.d/common-auth、/etc/pam.d/common-session。

测试PAM配置:

登录(su)普通用户使用passwd程序更新密码,如果输入的密码不符合要求,将不能修改

root@HMing ~ # su - hm      #登录到hm用户
hm@HMing ~ $ passwd         #修改密码
Changing password for user hm.
Changing password for hm.
(current) UNIX password:    #提示输入旧密码
New password:               #提示输入新密码,如果不满足要求,将会提示相关错误信息
Password unchanged
New password: 
BAD PASSWORD: is too simple
New password:               #当输入的密码满足要求时,才提示再次输入
Retype new password: 
passwd: all authentication tokens updated successfully.

2、用户SSH登录失败尝试次数超出限制后锁定账户(帐户锁定/解锁和时间设置)

此内容查看价格1立即购买

4、禁止直接使用root用户通过SSH登录

在/etc/pam.d/password-auth-ac或者/etc/pam.d/sshd配置文件中添加以下配置(该配置禁止SSH的口令认证,但仍然可以使用SSH密钥登录)

auth        required      pam_securetty.so

此外还可以配置/etc/securetty 文件禁止root用户通过所有tty终端登录系统

# cp /etc/securetty /etc/securetty.saved
# echo "" >/etc/securetty

5、pwgen复杂密码随机生成工具

pwgen是一个在Linux随机生成密码的工具,在CnetOS6下安装:

# rpm -ivh https://mirrors.aliyun.com/epel/epel-release-latest-6.noarch.rpm
# yum install pwgen
使用pwgen命令随机生成字符长度为12的密码
# pwgen -s 12 -c -n -y

-n  至少包含一个数字
-c  至少包含一个大写字母
-y  至少包含一个特殊字符
-s  完全随机生成密码

 

赞(6) 打赏
未经允许不得转载:琼杰笔记 » Linux安全策略配置之PAM身份验证模块使用方法总结【亲测可用】

评论 抢沙发

评论前必须登录!

 

分享交流,合作共赢!

联系我们加入QQ群

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续给力更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册