利用linux pam实现安全验证与管理

大家都知道现在很多电脑软件都有限制用户登陆失败次数的限制,Linux也是如此,当你登录失败多次后就可以限制用户登录,从而起到保护电脑安全的作用,通过PAM模块即可实现,下面随我一起来了解下吧。Linux有一个pam_tally2.so的PAM模块,来限定用户的登录失败次数,如果次数达到设置的阈值,则锁定用户。编译PAM的配置文件# vim /etc/pam.d/login#%PAM-1.0auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10auth ［user_unknown=ignore success=ok ignoreignore=ignore default=bad］ pam_securetty.soauth include system-authaccount required pam_nologin.soaccount include system-authpassword include system-auth# pam_selinux.so close should be the first session rulesession required pam_selinux.so closesession optional pam_keyinit.so force revokesession required pam_loginuid.sosession include system-authsession optional pam_console.so# pam_selinux.so open should only be followed by sessions to be executed in the user contextsession required pam_selinux.so open各参数解释even_deny_root 也限制root用户；deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒；root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒；此处使用的是 pam_tally2 模块,如果不支持 pam_tally2 可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则。在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的！最终效果如下图这个只是限制了用户从tty登录,而没有限制远程登录,如果想限制远程登录,需要改SSHD文件# vim /etc/pam.d/sshd#%PAM-1.0auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10auth include system-authaccount required pam_nologin.soaccount include system-authpassword include system-authsession optional pam_keyinit.so force revokesession include system-authsession required pam_loginuid.so同样是增加在第2行！查看用户登录失败的次数［root@node100 pam.d］# pam_tally2 --user RedHatLogin Failures Latest failure Fromredhat 7 07/16/12 15:18:22 tty1解锁指定用户［root@node100 pam.d］# pam_tally2 -r -u redhatLogin Failures Latest failure Fromredhat 7 07/16/12 15:18:22 tty1这个远程ssh的时候,没有提示,我用的是Xshell,不知道其它终端有没提示,只要超过设定的值,输入正确的密码也是登陆不了的！上面就是Linux通过PAM模块限制用户登录次数的方法,最好设置下,以免别人用工具破解你的电脑,窃取你的隐私信息。

本系列讲解了 Linux-PAM 的工作机制和配置方式，并利用几个 Linux-PAM 模块做一些有趣的小实验。附录中介绍了一些常用的 Linux-PAM 模块。

本文的目标读者是期望了解 PAM 认证机制的 Linux 用户或者系统管理员。如果您是开发人员，希望编写一个使用 PAM 认证的应用程序，或者是为 PAM 写插件的开发人员，本文的内容可能并不能满足您的需求，请参阅 《Linux-PAM应用开发指南》 （英文）和 《Linux-PAM 模块开发指南》 （英文）。

PAM 的各个模块一般存放在 /lib/security/ 或 /lib64/security/ 中，以动态库文件的形式存在（可参阅 dlopen(3) ），文件名格式一般为 pam_*.so 。PAM 的配置文件可以是 /etc/pam.conf 这一个文件，也可以是 /etc/pam.d/ 文件夹内的多个文件。如果 /etc/pam.d/ 这个文件夹存在，Linux-PAM 将自动忽略 /etc/pam.conf 。

/etc/pam.conf 类型的格式如下：

/etc/pam.d/ 类型的配置文件通常以每一个使用 PAM 的程序的名称来命令。比如 /etc/pam.d/su ， /etc/pam.d/login 等等。还有些配置文件比较通用，经常被别的配置文件引用，也放在这个文件夹下，比如 /etc/pam.d/system-auth 。这些文件的格式都保持一致：

不难看出，文件夹形式的配置文件中只是没有了服务名称这一列：服务名称已经是文件名了。

由于很难在时下的发行版本中找到使用 /etc/pam.conf 这一独立文件作为 PAM 配置的例子，此处仅就 /etc/pam.d/ 格式举例。在笔者安装的 CentOS(x64) 7.2.1511 中， /etc/pam.d/login 的内容如下：

# 表示注释。

每一行代表一条规则。但也可以用 \\ 来放在行末，来连接该行和下一行。

例子的最后一行开头有一个短横线 - ，意思是如果找不到这个模块，导致无法被加载时，这一事件不会被记录在日志中。这个功能适用于那些认证时非必需的、安装时可能没被安装进系统的模块。

我们在[第一篇]({% post_url 2016-03-30-pam-tutorial-1-intro %})中接触了 Linux-PAM 的四种工作类别（type）。在上面的例子中，工作类别作为第一列出现。

讲到这里，我们有必要聊一聊 PAM 的 流程栈（stack） 概念：它是认证时执行步骤和规则的堆叠。在某个服务的配置文件中，它体现在了配置文件中的自上而下的执行顺序中。栈是可以被引用的，即在一个栈（或者流程）中嵌入另一个栈。我们之后和它会有更多的接触。

第二列为 控制模式（control） ，用于定义各个认证模块在给出各种结果时 PAM 的行为，或者调用在别的配置文件中定义的认证流程栈。该列有两种形式，一种是比较常见的“关键字”模式，另一种则是用方括号（ [] ）包含的“返回值=行为”模式。

“关键字”模式下，有以下几种控制模式：

“返回值=行为”模式则更为复杂，其格式如下：

其中， valueN 的值是各个认证模块执行之后的返回值。有 success 、 user_unknown 、 new_authtok_reqd 、 default 等等数十种。其中， default 代表其他所有没有明确说明的返回值。返回值结果清单可以在 /usr/include/security/_pam_types.h 中找到，也可以查询 pam(3) 获取详细描述。

流程栈中很可能有多个验证规则，每条验证的返回值可能不尽相同，那么到底哪一个验证规则能作为最终的结果呢？这就需要 actionN 的值来决定了。 actionN 的值有以下几种：

我们在前文中已经介绍了控制模式（contro）的“关键字”模式。实际上，“关键字”模式可以等效地用“返回值=行为”模式来表示。具体的对应如下：

正如前文所述，模块一般保存在 /lib/security 或 /lib64/security 中（取决于 *** 作系统位数）。Linux-PAM 配置文件中的模块位置可以是相对于上述文件夹的相对路径，也可以是文件的全路径。

模块参数用空格与模块路径相隔。该参数将只和特定模块相关，因此某个模块的文档中一定包含其参数的信息。如果需要在单个参数中使用空格，可以将整个参数用方括号（ [] ）包裹起来。

简单地说，PAM主要是由一组共享库文件（也就是后缀名为.so文件）和一些配置文件组成的用于系统服务授权的一套东西，其中，PAM 就是 Pluggable Authentication Modules 这几个英文单词的缩写。当你在请求服务的时候，具有PAM认证功能的应用程序将与这些.so文件进行交互，以便得知是否可以授权给发起请求的用户来使用服务，比如su, vsftp, httpd,等。如果认证成功了，那么这个用户便可以使用服务或完成命令，如果认证失败了，那么这个用户将不能使用服务，同时，PAM将向指定的log文件写入警告信息。我们可以将PAM看作是一个中间裁判，它不依赖于任何应用或服务。你完全可以升级这些应用或服务而不必管PAM的共享库的更新或升级，反之亦然。所以它非常的灵活。

---