PAM - 可插拔认证模块

1、为什么要使用PAM

为了让用户更合理地使用系统，应用程序或服务（如sshd、login、su、password、ftp等）不可避免地需要对用户进行安全认证，若按照各自的规则去配置非常耗费时间和精力且不能重用。

而PAM提供了统一的API，使应用程序的访问控制变得简单方便。

2、介绍

官方地址：http://www.linux-pam.org/

2.1 流程说明

当某个应用程序或服务需要使用PAM来进行认证时，只要它支持PAM，就可以通过修改其相应的PAM配置文件，加放所需要的认证方式。当重新访问时，PAM就会读取相应的配置文件来提供认证功能。

2.2 PAM配置文件

PAM配置文件可能是/etc/pam.conf，或者是 /etc/pam.d/目录下对应服务名称的文件（本文以此形式进行介绍）。

PAM配置文件是由一系列规则组成，一个规则对应一行。

（1）规则语法

service type control module-path module-arguments

（2）字段说明

service （服务名称）
注：在/etc/pam.d/目录下的配置文件，是不包含service部分的，而文件的名字就是service，且文件名必须是小写。

type（account/auth/password/session）

• account
  帐户管理，它主要用来限制/允许用户对某个服务的访问时间、当前可用的系统资源（用户的最大数量）或者用户的位置访问服务（例如：root用户只能从控制台登录）
• auth
  识别用户身份，比如：提示用户输入密码
• password
  升级用户的认证标记，比如：密码强度性检测
• session
  处理为用户提供服务之前/后需要做的一些事情，比如：记录登录连接信息，挂载目录等

control（required/requisite/sufficient/optional/include/substack）

• required
  若当前行认证失败，认证过程仍旧继续，整个栈运行完毕之后返回认证失败；若成功，继续下一个认证。
• requisite
  若当前行认证失败，则立即中止并返回认证失败；若成功，继续下一个认证。
• sufficient
  若当前行认证成功，并且之前没有任何required认证失败，则立即返回认证成功；若失败，不对结果造成影响并进行下一个认证。
• optional
  仅当整个栈中只有这一个认证时才有决定性作用，否则当前行的认证跟最终结果无关。
• include
  将其他配置文件中的所有行包含在当前的位置并运行。
• substack
  类似include，但substack所包含的行将作为一个子栈，其运行过程不会影响到母栈，子栈的运行结果将作为当前行认证的结果输出。

module-path（模块路径）

如果以“/”开头，则表示模块的全路径，否则表示相对于/lib/security/或/lib64/security/的相对路径。

[root@iZwz9catu2mrq92b07d1d0Z ~]# ls -l /lib64/security/
total
-rwxr-xr-x   root root  Mar    pam_access.so
-rwxr-xr-x.  root root   Dec     pam_cap.so
-rwxr-xr-x   root root  Mar    pam_chroot.so
-rwxr-xr-x   root root  Mar    pam_console.so
-rwxr-xr-x   root root  Mar    pam_cracklib.so
-rwxr-xr-x   root root  Mar    pam_debug.so
-rwxr-xr-x   root root   Mar    pam_deny.so
... 

 

module-arguments（模块参数）

3、可用模块

官方文档：http://www.linux-pam.org/Linux-PAM-html/sag-module-reference.html

pam_access - 日志监控风格的访问控制

pam_access.so [ debug ] [ nodefgroup ] [ noaudit ] [ accessfile=file ] [ fieldsep=sep ] [ listsep=sep ]

（1）使用介绍

当用户要访问应用程序时，accessfile（默认是/etc/security/access.conf）就会被扫描来检测用户是否具有访问权限并返回结果。

accessfile中的每一行都包括三个域，以冒号隔开，如下所示：

permission:users/groups:origins

• 第一个域，permission，值为+或-，+表示允许访问，-表示拒绝访问；
• 第二个域，users/groups，列出一个或多个用户名/组名，或者直接使用ALL（代表所有用户和组）。为了区分用户名和组名，组名应加上括号，例如：(group)；
• 第三个域，origins，列出一种或多种登录方式，如：tty名称（tty是本地虚拟终端，比如：在阿里云CentOS实例的远程连接中可以切换到不同的虚拟终端，CTRL+ALT+F1代表切换到tty1，CTRL+ALT+F2代表切换到tty2，如此类推），IP地址，ALL（代表所有登录方式）等

（2）参数说明

• debug
  大量的调试信息会被syslog记录下来
• nodefgroup
  只有写在括号内的名称才会去匹配组文件，例如：(wheel)，若没有设置该参数，则先匹配用户文件再匹配组文件
• noaudit
  当有用户从未被允许的主机或终端登录时，事件不会被报告
• accessfile=/path/to/access.conf
  设置配置文件路径，主要用于不同的服务对应不同的配置
• fieldsep=separators
  配置文件的域分隔符，默认的域分隔符是英文冒号，如果fieldsep=|，那么|将作为域分隔符，而英文冒号则被看作普通字符
• listsep=separators
  每个域都是一个列表，该选项改变配置文件的列表分隔符，默认的列表分隔符是空格，如果listsep=,，那么逗号将作为列表分隔符，而空格则被看作普通字符，这可能用于用户名或组名含有空格的情况，但必须要注意的是此时字段值与分隔符之间也不能存在空格！

（3）应用场景

例1：限制用户的SSH登录

[root@iZwz9catu2mrq92b07d1d0Z ~]# cp /etc/pam.d/sshd /etc/pam.d/sshd_backup

//修改SSH对应的PAM配置文件，新增pam_access模块认证
[root@iZwz9catu2mrq92b07d1d0Z ~]# vi /etc/pam.d/sshd

#%PAM-1.0
account    requisite     pam_access.so nodefgroup accessfile=/etc/mypam/access_ssh.conf fieldsep=| listsep=,

[root@iZwz9catu2mrq92b07d1d0Z ~]# mkdir /etc/mypam

//编辑accessfile（注：匹配的顺序从第一行开始）
[root@iZwz9catu2mrq92b07d1d0Z ~]# vi /etc/mypam/access_ssh.conf

#允许root和组mygroup1的成员登录
+|root (mygroup1)|ALL

#拒绝root和组mygroup1的成员以外的用户登录
-|ALL EXCEPT root (mygroup1)|ALL

#拒绝指定用户从非指定的ip进行登录
-|cjh|ALL EXCEPT 120.231.146.242

pam_nologin - 防止非root用户登录

http://www.linux-pam.org/Linux-PAM-html/sag-pam_nologin.html

pam_tally2 - 登录计数器

http://www.linux-pam.org/Linux-PAM-html/sag-pam_tally2.html