PAM的原理与应用

2023-11-30 19:08
文章标签 应用 原理 pam

本文主要是介绍PAM的原理与应用,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、PAM简介

PAMPluggable Authentication Modules,可插拔认证模块)是一种高效而且灵活便利的用户级别的认证方式。起初它是由美国Sun公司为Solaris操作系统开发的,后来,很多操作系统都实现了对它的支持,它是当前Linux服务器普遍使用的认证方式。

1.1 PAM的必要性

我们知道,Linux系统中的身份认证方式是多种多样的。一般来说,可以分为服务程序身份认证和专门系统身份认证。其中,服务程序身份认证包括:login服务程序、ftp服务程序,telnet服务程序、ssh服务程序等;专门系统身份认证包括:传统UNIX认证、NIS认证、NIS+认证、Kerberos认证等。

如此众多的身份认证方式存在于同一个系统当中,将难免带来众多的问题,我们可以将其划分为管理问题和安全问题。管理问题是指:我们需要能够保证众多的身份认证方式不能冲突,并且可以很好的协同工作。此外,由于不同的系统认证方式采用不同的算法和机制,并且每个系统认证方式还可能包含多个版本(如Kerberos4.5Kerberos5等)。假如由于某种原因我们需要更换系统认证方式,那么我们需要如何做呢?传统方式当然是,卸载然后重新安装,甚至需要修改源程序代码重新编译。安全问题是指:比如一台服务器开着FTPSMTPSSH等服务,那么新建一个用户默认就享有对以上的服务的操作权限,那么如果一个用户的帐号密码泄露会涉及到多个服务。这将是我们不希望看到的。

如何对上述问题进行改进,将是势在必行的。在这种背景下,PAM认证方式应运而生并很好地解决了上述的问题。

1.2 揭开PAM的神秘面纱

PAM最大的特点是实现了服务程序和认证机制的分离,它采用模块化设计和插件功能,使得我们可以轻易地在应用程序中插入新的鉴别模块或替换原先的组件,而不必对应用程序做任何修改,从而使软件的定制、维持和升级更加轻松--因为鉴别机制与应用程序之间相对独立。

应用程序可以通过 PAM API 方便的使用 PAM 提供的各种鉴别功能,而不必了解太多的底层细节;PAM服务模块的开发者还可以通过PAM提供的SPI来编写认证模块。此外,PAM的易用性也较强,主要表现在它对上层屏蔽了认证的具体细节,所以用户不必被迫学习各种各样的认证方式,也不必记住多个口令;又由于它实现了多鉴别机制的集成管理,所以单个程序可以非常容易地使用多种鉴别机制如Kerberos认证和NIS认证机制等,但用户仍可以用同一个口令登录。在这个过程中用户根本感觉不到系统采取了何种认证方法。

其基本思想如下图所示:

1-1PAM基本思想

PAM系统正像上图所描述的那样,将不同的认证方式统一地管理起来。并且各种认证方式可以方便地“插拔”到PAM系统中。

注意:如无特殊说明,本文所介绍的PAM均为基于Ubuntu10.04环境下的PAM机制介绍。

 

二、PAM工作原理

2.1 PAM工作原理

PAM系统在文件上,主要包括PAM核心库文件、PAM配置文件和PAM服务模块。其中,PAM核心库文件位于“/usr/lib/libpam.so”;PAM配置文件包括“/etc/pam.conf”和“/etc/pam.d/*”;PAM服务模块(PAM Service Module)包括“/usr/lib/security/pam_*.so”。

那么PAM系统的组成文档与图1-1所描述的PAM基本思想有什么样的关系呢?其核心机制如下图2-1所示:

2-1PAM运行机制

从图中可以看出, PAM系统主要提供四种主要的工作方式。它们分别为:

1)系统管理员通过PAM配置文件来指定认证策略,即指定什么服务该采用何种认证方法;

2)应用程序开发者通过在服务程序中使用PAM API来实现对认证方式的调用;

3PAM服务模块开发者利用PAM SPI来编写认证模块,将不同的认证机制加入到系统当中。实际上,NISKerberos等系统所提供的认证方式就是这种情况;

4PAM核心库(libpam)读取配置文件,以此为根据江服务程序和相应的认证方法联系起来。

 

概括地说,PAM认证一般遵循这样的顺序:服务PAM配置文件PAM服务模块。PAM认证首先要确定那一项服务,然后加载相应的PAM的配置文件(/etc/pam.conf/etc/pam.d/[service]),最后调用PAM服务模块(/lib/security/pam_*.so)进行安全认证。这期间,可能需要用户来参与其中的某一个或某些过程,例如输入密码、配置信息等。

2.2 PAM的配置

PAM的配置,需要借助于PAM的配置文档。PAM的配置指的是,用户通过对PAM配置文档的修改使得PAM实现某种认证机制。PAM的配置文档包括“/etc/pam.conf”和“/etc/pam.d/”下的一组文件。PAM的配置包括两种方式,一种是对“pam.conf”文件的修改,另一种是对“/etc/pam.d/”目录下对应文件的修改。下面将分别对其配置方式进行分别介绍。

q  pam.conf”配置详解

这种配置方式的语法如下所示:

service-name module-type control-flag module-path arguments

pam.conf文件中每一行的格式如上所示,一条这样的行规定的是某一个或一类的认证方式。pam.conf正是由此种格式的行所组成的认证方式的集合。

1service-name(服务名称)指的是所要设定的认证方式所对应的服务名称,例如telnetftplogin等。其中服务名称“OTHER”代表所有没有在该配置文件中明确设置的其它服务。

2module-type(模块类型)所提供的模块类型有四种:authaccountsessionpassword,即对应PAM所支持的四种管理方式,认证管理、账户管理、会话管理和密码管理。同一个服务(service-name)可以调用多个PAM模块进行认证,这些模块构成一个堆栈。

3control-flag(控制标记)可以支持四种控制标记,分别为:requisiterequiredsufficientoptional。控制标记用来告诉PAM库该如何处理与该服务相关的认证成功或失败情况。

required 表示本模块必须返回成功才能通过认证,但是如果该模块返回失败的话,失败结果也不会立即通知用户,而是要等到同一堆栈中的所有模块全部执行完毕再将失败结果返回给应用程序。可以认为是一个必要条件。

requisite required类似,该模块必须返回成功才能通过认证。二者不同之处在于,一旦该模块返回失败,将不再执行同一stack内的任何模块,而是直接将控制权返回给应用程序。是一个必要条件。

sufficient 表明本模块返回成功已经足以通过身份认证的要求,不必再执行同一堆栈内的其它模块,但是如果本模块返回失败的话可以忽略。可以认为是一个充分条件。

optional表明本模块是可选的,它的成功与否一般不会对身份认证起关键作用。它的执行结果不影响其他命令的执行,也不影响PAM报告的结果,其返回值一般被忽略。

4module-path(模块路径)代表PAM验证模块的路径。如果以“/”开头,就表示是完整的路径;如果不是以“/”打头,就表示是相对于“/usr/lib/security”的相对路径。

5arguments(参数)表示传递给模块的参数,此部分为可选项,如果不需要传递任何参数则可以忽略此项。其中参数的可选格式如下表2-1所示:

2-1arguments可选参数

可选参数值

说明

debug

通过syslog系统调用记录调试信息

no_warn

表明该模块不把警告信息发送给应用程序。

use_first_pass

使模块不提示用户输入密码,而是使用为前一个验证模块输入的密码。如果无效,则验证失败。这个参数只能用于authpassword类型模块。

try_first_pass

首先使用用户为上一个模块输入的密码进行验证,如果不行,就提示用户输入密码,这个参数只能用于auth类型的模块。 

use_mapped_pass

该模块不能提示用户输入密码,而是使用映射过的密码。这个参数目前还不能被任何Linux-PAM模块支持,主要因为美国加密算法的出口限制。

expose_account

通常,对于模块来说泄露用户的某些信息并非一个安全的策略。有时候用户名、起始目录或者用户使用的shell等信息都可以被攻击者用来攻击一个用户帐户。这个参数是一个适用于每个模块的标准参数,它可以使模块尽量少地泄露用户信息。

 

了解完语法之后,下面我们来看一个例子。假如我们想要对ssh的进行认证管理,那么我们需要对服务对应的“module-type”设置为“auth”。如下代码清单2-1所示:

代码清单2-1ssh认证配置

sshd  auth  required    /lib/security/pam_env.so

sshd  auth  sufficient /lib/security/pam_unix.so   likeauth nullok

sshd  auth  required    /lib/security/pam_deny.so

从第一列和第二列可以看出此配置针对的是ssh的认证服务。第一行表示,设置环境变量,此项是必须的,也就是说必须设置成功才表明此认证成功。第二行表示提供标准的UNIX认证,如果认证失败,则忽略此项,继续执行堆栈内的下一条认证;如果成功,则认证结束。第三行表示,加入上述认证失败,则拒绝进入系统,返回认证失败标识。

q  pam.d/*”配置详解

首先我们先来看一下pam.d目录下包含哪些文件,如图2-2所示:

2-2:“pam.d”目录下文件

此种配置方法与上一中基本类似,其语法为:

module-type   control-flag   module-path   arguments

与上一中配置方法的语法相比,此种配置方法语法缺少了“service-name”部分,那么如何为某种服务指定其配置方法呢?从图2-2中可以看出,此种配置方法的服务名称即为每个文件的名称,加入需要为“login”服务设置认证方式,那么只需要在此目录下创建“login”文件,并对其进行设置即可。词语法中的各个字段配置方法与“pam.conf”完全相同。需要注意的是,此种配置方法的优先级要比上一中配置方法的优先级要高。比如,在“pam.d”目录下配置了“login”服务,那么它将覆盖掉“pam.conf”中对“login”服务的设置。

2.3 PAM服务模块详解

       我们已经知道,PAM认证的最后一步需要调用PAM服务模块(PAM service module)进行实际的认证。首先,我们来看一下

这篇关于PAM的原理与应用的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/438197

相关文章

Python中随机休眠技术原理与应用详解

《Python中随机休眠技术原理与应用详解》在编程中,让程序暂停执行特定时间是常见需求,当需要引入不确定性时,随机休眠就成为关键技巧,下面我们就来看看Python中随机休眠技术的具体实现与应用吧... 目录引言一、实现原理与基础方法1.1 核心函数解析1.2 基础实现模板1.3 整数版实现二、典型应用场景2

Java的IO模型、Netty原理解析

《Java的IO模型、Netty原理解析》Java的I/O是以流的方式进行数据输入输出的,Java的类库涉及很多领域的IO内容:标准的输入输出,文件的操作、网络上的数据传输流、字符串流、对象流等,这篇... 目录1.什么是IO2.同步与异步、阻塞与非阻塞3.三种IO模型BIO(blocking I/O)NI

Python Dash框架在数据可视化仪表板中的应用与实践记录

《PythonDash框架在数据可视化仪表板中的应用与实践记录》Python的PlotlyDash库提供了一种简便且强大的方式来构建和展示互动式数据仪表板,本篇文章将深入探讨如何使用Dash设计一... 目录python Dash框架在数据可视化仪表板中的应用与实践1. 什么是Plotly Dash?1.1

Android Kotlin 高阶函数详解及其在协程中的应用小结

《AndroidKotlin高阶函数详解及其在协程中的应用小结》高阶函数是Kotlin中的一个重要特性,它能够将函数作为一等公民(First-ClassCitizen),使得代码更加简洁、灵活和可... 目录1. 引言2. 什么是高阶函数?3. 高阶函数的基础用法3.1 传递函数作为参数3.2 Lambda

Java中&和&&以及|和||的区别、应用场景和代码示例

《Java中&和&&以及|和||的区别、应用场景和代码示例》:本文主要介绍Java中的逻辑运算符&、&&、|和||的区别,包括它们在布尔和整数类型上的应用,文中通过代码介绍的非常详细,需要的朋友可... 目录前言1. & 和 &&代码示例2. | 和 ||代码示例3. 为什么要使用 & 和 | 而不是总是使

Python循环缓冲区的应用详解

《Python循环缓冲区的应用详解》循环缓冲区是一个线性缓冲区,逻辑上被视为一个循环的结构,本文主要为大家介绍了Python中循环缓冲区的相关应用,有兴趣的小伙伴可以了解一下... 目录什么是循环缓冲区循环缓冲区的结构python中的循环缓冲区实现运行循环缓冲区循环缓冲区的优势应用案例Python中的实现库

SpringBoot整合MybatisPlus的基本应用指南

《SpringBoot整合MybatisPlus的基本应用指南》MyBatis-Plus,简称MP,是一个MyBatis的增强工具,在MyBatis的基础上只做增强不做改变,下面小编就来和大家介绍一下... 目录一、MyBATisPlus简介二、SpringBoot整合MybatisPlus1、创建数据库和

python中time模块的常用方法及应用详解

《python中time模块的常用方法及应用详解》在Python开发中,时间处理是绕不开的刚需场景,从性能计时到定时任务,从日志记录到数据同步,时间模块始终是开发者最得力的工具之一,本文将通过真实案例... 目录一、时间基石:time.time()典型场景:程序性能分析进阶技巧:结合上下文管理器实现自动计时

JAVA封装多线程实现的方式及原理

《JAVA封装多线程实现的方式及原理》:本文主要介绍Java中封装多线程的原理和常见方式,通过封装可以简化多线程的使用,提高安全性,并增强代码的可维护性和可扩展性,需要的朋友可以参考下... 目录前言一、封装的目标二、常见的封装方式及原理总结前言在 Java 中,封装多线程的原理主要围绕着将多线程相关的操

Java逻辑运算符之&&、|| 与&、 |的区别及应用

《Java逻辑运算符之&&、||与&、|的区别及应用》:本文主要介绍Java逻辑运算符之&&、||与&、|的区别及应用的相关资料,分别是&&、||与&、|,并探讨了它们在不同应用场景中... 目录前言一、基本概念与运算符介绍二、短路与与非短路与:&& 与 & 的区别1. &&:短路与(AND)2. &:非短