日期:2014-05-16  浏览次数:20852 次

Linux-PAM系统管理指南(2)
摘要: 在以下的内容中我们将讨论如何安全使用Linux-PAM并介绍Linux-PAM模块的用法
  
  5.Linux-PAM的安全问题
  
    这一章我们将讨论如何安全使用Linux-PAM。
  
  5.1 如果出现错误
  
    如果发生错误,Linux-PAM可能会改变系统的安全性。这取决于你自己的选择,你可以选择不安全(开放系统)和绝对安全(拒绝任何访问)。通常,Linux-PAM在发生错误时,倾向于后者。任何的配置错误都可能导致系统整个或者部分无法访问。
  
    能够遇到最大的问题可能就是Linux-PAM的配置文件(/etc/pam.d/*或者/etc/pam.conf)被删除了。如果发生这种事情,你的系统就会被锁住。
  
    不过,还是有办法进行恢复的。最好的方法就是重新启动系统进入单用户模式,然后进行正确地设置。下面是David Wood在邮件中提出的解决步骤:
  
  首先,以单用户模式启动系统,出现LILO boot:时输入: LILO boot:linux single >——此处假设使用的内核标签是linux,可以按TAB键列出可用的内核
  
  这样你不用登录就可以进入系统了。
  
  如果这个办法不行,你还可以使用急救盘启动系统。
  
  假设你的PAM系统只是配置文件被破坏,先按照如下步骤进行处理: cd /etc
  mv pam.conf pam.conf.orig
  mv pam.d pam.d.orig
  mkdir pam.d
  cd pam.d
  
  接着,使用编辑程序编辑/etc/pam.d/other文件,它应该包括以下四行:
  
  auth required pam_unix_auth.so
  account required pam_unix_acct.so
  password required pam_unix_passwd.so
  session required pam_unix_session.so
  
  然后,你就可以登录了。如果还是不行,那有可能是因为输入错误或者更严重的问题。如果是输入错误,会在日志文件中留下记录,可以使用tail /var/log/messages查看。
  
  现在,你已经重新登录到系统了。下面的工作就是重新安装Linux-PAM和其它软件(假设是RedHat系统),使用如下命令重新安装PAM软件包: rpm -Uvh --force pam-*
  
    然后,需要安装(重新安装)libc库、util-linux、wuftp、NetKit等受影响的软件包。如果使用X系统,也需要重新安装。
  
  5.2 不要使用脆弱的other文件
  
    如果系统默认配置文件other的配置比较脆弱,系统很可能受到攻击的威胁。
  
    这是一个示例配置,pam_deny模块将拒绝所有的访问,而pam_warn模块将向auth.notice日志设备发送一条警告信息:
  
    # The PAM configuration file for the `other' service
    #
    auth required pam_deny.so
    auth required pam_warn.so
    account required pam_deny.so
    account required pam_warn.so
    password required pam_deny.so
    password required pam_warn.so
    session required pam_deny.so
    session required pam_warn.so
  
  6.模块使用参考
  
    这一章我们将一块介绍Linux-PAM模块的用法
  
  6.1 access模块
  
  6.1.1 概要
  
  模块名
  pam_access
  
  作者
  Alexei Nogin
  
  维护者
  作者
  
  提供的管理组功能
  account
  
  系统依赖性
  需要一个配置文件。默认情况下,使用/etc/security/access.conf作为配置文件,也可以指定别的文件。
  
  网络支持
  通过PAM_TTY变量获得终端名,如果这个变量没有设置,就通过ttyname()函数获得标准输入文件描述符的终端名。还可以使用gethostname(),yp_get_default_domain(), gethostbyname()函数获得主机名、域名等信息,作为每个配置行的第三项。
  
  6.1.2 综述
  
    提供一种日志监控风格的登录访问控制机制
  
  6.1.3 account组件
  
  能够识别的参数
  accessfile=/path/to/file.conf
  
  描述
  这个模块提供一种日志监控风格的登录访问控制机制,这种机制是基于登录名、主机名、域名、internet地址、网络地址或者终端名的。A. Nogin把logdaemon-5.6(作者:Wietse Venema's)中的login_access.c文件做了许多改动,用到了这个模块中。
  
  这个模块的行为可以使用如下参数进行修正:
  
  accessfile=/path/to/file.conf 使用别的配置文件代替默认的配置文件/etc/security/access.conf。
  
  示例和建议
  例如:在一个NIS服务器或者一个邮件服务器上,有很多用户,但是你不想让这些用户具有登录(login)能力。这时,建议你使用这个模块。
  
  如果你的模块放在/lib/security目录,而且使用/etc/pam.d/风格的配置,可以在/etc/pam.d/login、/etc /pam.d/rlogin、/etc/pam.d/rsh和/etc/pam.d/ftp文件中加入下面一行,来启动这个模块:
  
  account required /lib/security/pam_access.so
  
  注意:除非你的系统可以忽略.rhosts文件的作用,否则这个模块无法发挥作用。其中细节请参考对pam_rhost_auth模块的介绍。
  
  此外,在软件的发布中有一个示例access.conf配置文件。
  
  6.2 chroot模块
  
  6.2.1 概要
  
  模块名
  pam_chrooot
  
  作者
  Bruce Campbell
  
  维护者
  作者
  
  提供的管理组功能
  account、session、authentication
  
  网络支持
  本地主机
  
  6.2.2 综述
  
    这个模块为普通用户提供一个假的文件系统,例如:在他们看来的/目录实际上是/some/where/else。
  
    如果系统中有几类用户,而你对安全问题又十分重视,就可以使用这个模块。它可以对用户能够看到的系统信息和能够运行的程序进行限制。
  
  6.2.3 account组件
  
    原著尚未完成
  
  6.2.4 session组件
  
    同上
  
  能够识别的参数
  可以使用PAM的通用参数和日志级别作为其参数。
  
  示例和建议
  提供合理的程序,例如只提供cat、ls、rm、cp和ed等。
  
  不要滥用这个模块,例如:你可以为每个用户安装一个隔离的环境,但是这样非