nsswitch&PAM认证框架

一、nsswitch概述

1.nsswitch:network/name  service  switch

nsswitch网路名称服务解析是通用框架,与各种类型存储进行交互的公共模块化实现;

实现:/usr/lib64/libnss*,/lib64/libnss*

框架模块:libnss;驱动模块:libnss_files-

2.配置文件:/etc/nsswitch.conf

(1)格式

为每一种用到解析库的应用通过配置定义其位置,格式======解析库: store1  store2  …=======

解析库可以为文件、关系型数据管理系统(MySQL)、NIS、LDAP、DNS

例如:passwd: files        密码通过文件解析

hosts: files  dns    hosts通过文件解析,若没有再通过dns解析

(2)查找结果和状态

每种种存储中的查找结果状态:STATSU => success | notfound | unavail | tryagain

对应于每种状态结果的行为(action):return| continue

例子:

hosts:files  nis [NOTFOUND=return]  dns

3.getent命令:get  entries,从指明库中查找指定名称

getent  DATABASE  [key]

二、PAM概述

1.pam:pluggableauthenticationmodule,可插入式认证模块

通用框架,提供了与各种类型存储进行交互的公共实现、以及多种辅助类的功能:/lib64/security/*

提供认证库有多种类型的存储:文件、关系型数据管理系统、LDAP、NIS… ...

2.配置文件:

(1)为各种调用了pam的应用提供其专用配置

通用:/etc/pam.conf,可为每一种调用pam完成认证功能的应用程序提供配置;

专用:/etc/pam.d/*,通常专用于为某种特定的应用程序提供配置;通常每个应用会使用一个单独的配置文件;

(2)配置文件格式

通用配置文件:application    type    control    module-path    module-arguments

专用配置文件:type    control    module-path  module-arguments

3.配置文件格式详解

(1)type:检查的功能类别

可能使用一个或者多个进行限定认证


auth


账号的认证和授权;


account


与账号管理相关的非认证类的功能;


password


用户修改密码时密码复杂度检查机制;


session


用户获取到服务之前或使用服务完成之后需要进行一些附加性操作;

(2)control:同一种功能的多个检查之间如何进行组合;

1)简单实现:使用一个关键词来定义控制

required:必须通过检查;否则,即为失败;无论成功还是失败,都需继续由后续同种功能的其它模块进行检查;

requisite:一票否决;检测失败就直接返回失败;检测成功,则由由后续同种功能的其它模块进行检查;

sufficient:一票通过,检测成功就直接返回成功;检测失败,则由由后续同种功能的其它模块进行检查;

optional:可选的,参考性控制机制;

include:调用其它配置文件中的同种功能的检测机制;

2)详细实现:使用一个或多个“status=action”

[status1=action1,status2=action2, ...]

status:返回状态

action:采取的行为,比如ok,done, die, bad, ignore, ...

(3)module-path:模块文件路径;

相对路径:相对于/lib64/security/目录而言;

绝对路径:可位于任何可访问路径;

(4)module-arguments:模块的专用参数;

三、pam_limits.so:资源限制

1.pam_linits.so

在用户级别实现对其可使用的资源的限制,例如可打开的文件数量,可运行的进程数量,可用内存空间;

2.修改限制的实现方式:

(1)ulimit命令:用于调整软限制;

-n        最多的打开的文件描述符个数

-u        最大用户进程数

-S        使用 `soft‘(软)资源限制

-H       使用 `hard‘(硬)资源限制

(2)配置文件:/etc/security/limits.conf,/etc/security/limits.d/*.conf

配置文件:每行一个定义;

格式:<domain>       <type>  <item>  <value>

<domain>:应用于哪些对象

username

@group

*:所有用户

<type>:限制的类型

soft:软限制,普通用户自己可以修改;

hard:硬限制,由root用户设定,且通过kernel强制生效;

-:软硬使用相同限制;

<item>:限制的资源类型

nofile:所能够同时打开的最大文件数量;默认为1024;

nproc:所能够同时运行的进程的最大数量;默认为1024;

nsswitch&PAM认证框架

时间: 01-22

nsswitch&PAM认证框架的相关文章

Linux中pam认证详解(下)

Linux中pam认证详解(下) 在上一篇中详细的介绍了pam的介绍.pam认证原理.pam认证构成以及pam验证控制类型,下面向大家详细介绍一下常用的pam服务模块,以及pam认证的应用. 一.常用的pam服务模块 下面是Linux提供的PAM模块列表(只是其中一部分),这其中包含模块文件.模块功能描述和相关配置文件,具体如下: pam_access 提供logdaemon风格登录控制 /etc/security/access.conf pam_chroot 提供类似chroot命令的功能 p

搭建vsftp pam认证

1.yum安装vsftpd程序: [[email protected] other]# yum install vsftpd -y 2.修改配置文件 [[email protected] other]# vi /etc/vsftpd/vsftpd.conf anonymous_enable=NO //是否允许anonymous登录FTP服务器,默认是允许的.local_enable=YES //是否允许本地用户登录FTP服务器,默认是允许write_enable=YES //是否允许用户具有在F

PAM认证机制

PAM:Pluggable Authentication Modules 认证库:文本文件,MySQL,NIS,LDAP等 PAM 是关注如何为服务验证用户的API,通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开 使得系统管理员可以灵活地根据需要给不同的服务配置不 同的认证方式而无需更改服务程序 它提供了对所有服务进行认证的中央机制,适用于login,远 程登录(telnet,rlogin,fsh,ftp,点对点协议(PPP)),su等 应用程序中.系统管理员通

检查是否使用PAM认证模块禁止wheel组之外的用户su为root

编辑su文件(vi /etc/pam.d/su),在开头添加下面两行: auth sufficient pam_rootok.so 和 auth required pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su命令成为root用户. 你可以把用户添加到wheel组,以使它可以使用su命令成为root用户. 添加方法为:usermod –G wheel username

Linux运维 第三阶段 (十三)nss&pam

Linux运维第三阶段(十三)nss&pam 一.nss(network service switch网络服务转换) authentication(认证,决定用户的用户名和密码是否能通过检验) authorization(授权,决定用户是否能访问某服务) audition(审计) username-->UID groupname-->GID http-->80port FQDN-->IP(hosts文件,DNS,mysql,NIS(networkinformation se

vsftp服务配置详解

FTP服务器简介: FTP服务器是提供文件存储和访问服务的服务器,通过ftp(文件传输协议)实现数据传输,而且FTP是仅基于TCP的服务,不支持UDP.FTP应用是一种C/S架构的应用,客户端和服务器端都需要安装相关的软件才能实现相互之间的数据传输.常见的软件套件有FileZilla,Server-U,VsFTP,Pure-FTPd ,ProFTPD等,其中VsFTP,Pure-FTPd ,ProFTPD是单纯的服务器程序,常见客户端程序有ftp,lftp.本文实验环境中采用的服务器程序是vsf

linux系统安全及应用——PAM安全认证

一.PAM认证模块介绍 PAM认证模块,叫做可插拔式的认证模块.一项重要的功能就是为了加强su命令的使用控制,可以借助于PAM认证模块,只允许极个别用户使用su命令进行切换.PAM提供了对所有服务进行认证的中央机制,适用于login,远程登录(telnet,rlogin,fsh,ftp),su等应用程序中,系统管理员通过PAM配置文件来制定不同应用程序的不同认证策略. PAM认证首先要确定哪一项服务,然后加载相应的PAM的配置文件(位于/etc/pam.d下),最后调用认证文件(位于/lib/s

vsftpd基于pam虚拟用户认证,还怕泄漏账号么?

一.ftp简要介绍 ftp是一个很古老的协议了,是一种基于明文传输的C/S架构协议.ftp基于tpc21.20端口,其中21端口为命令端口,20端口为数据端口.ftp命令连接同其他TCP连接一样,不过数据连接有两种模式: 主动模式,也称作PORT模式:命令请求端口时,服务器端为减少等待,主动将数据发送给客户端:使用本机的20端口请求客户端的端口.这里有个问题:服务器端想要主动连接客户端就需要知道客户端的端口号,可是客户端根本没有启动任何端口给服务器端.协议设计中服务器端根据客户端的命令连接端口(

vsftpd基于pam_mysql的虚拟用户认证

1.ftp用户 匿名用户:映射到某一个固定的系统用户,例如(ftp,vsftp,/var/ftp) 本地用户:系统用户,root及系统用户(0-999) 虚拟用户:nsswitch: name services switch  名称服务转换 PAM: Plugabl Plugable Authentication Modules  插入式认证模块本文主要讲解vsftpd基于pam_mysql的虚拟用户认证步骤. 2.准备环境 操作系统 主机名 IP地址 环境描述 CentOS 7.1 ch7 1