SUDO安全委派和安全模块

sudo更换身份

su 切换身份使用su 切换身份必须首先直到被切换成用户的密码如: su root 就必须要知道root的密码这种机制安全性不高,容易泄露管理员密码

1. sudo能够授权指定用户在指定主机上执行某些命令

2. sudo 可以提供日志,记录每个用户使用sudo操作

3. sudo 为系统管理员提供配置文件,允许系统管理员集中的管理用户的使用权限和使用的主机

4. sudo 使用时间戳文件来完成类似"检票"系统,默认存活期为5分钟

5. 使用sudo授权后普通用户就可以执行默认不能执行的操作相当于提升普通用户的执行权限

sudo配置

配置文件：/etc/sudoers(不建议使用), /etc/sudoers.d/

时间戳文件：/var/db/sudo

日志文件：/var/log/secure

配置文件支持使用通配符glob：

？:任意单一字符

* ：匹配任意长度字符

[wxc]:匹配其中一个字符

[!wxc]:除了这三个字符的其它字符

\x : 转义

[[alpha]] :字母示例： /bin/ls [[alpha]]*

配置文件规则有两类：

1、别名定义:不是必须的

2、授权规则:必须的

授权规则格式

root ALL=(ALL) ALL

yxh 192.168.30.7=(root) /bin/mount /dev/cdrom /mnt/

执行格式 : sudo mount /dev/cdrom /mnt/ 执行命令的时候必须和授权规则中写的命令保持完全一致 sudo mount /dev/cdrom /mnt 执行失败因为缺少最后的/

sudo命令

ls -l /usr/bin/sudo

sudo –i –u wang 切换身份

sudo [-u user] COMMAND

-V 显示版本信息等配置信息

-u user 默认为root

-l,ll 列出用户在主机上可用的和被禁止的命令

-v 再延长密码有效期限5分钟,更新时间戳

-k 清除时间戳（1970-01-01）,下次需要重新输密码

-K 与-k类似,还要删除时间戳文件

-b 在后台执行指令

-p 改变询问密码的提示符号示例：-p ”password on %h for user %p:"

user1 ALL=(user2) ALL 第一个ALL表示所有主机第二个ALL表示所有权限表示user2有的权限全都赋给user1

user2可以在终端执行 sudo -u user1 cat /etc/shadow 如果没有指定-u选项,默认代表root用户

sudo别名和示例

Users和runas:

username

#uid

%group_name

%#gid

user_alias|runas_alias

host:

ip或hostname

network(/netmask)

host_alias

command:

command name

TCP_Wrappers介绍

工作在第四层(传输层)的TCP协议实现简单的防火墙功能

对有状态连接的特定服务进行安全检测并实现访问控制

以库文件形式实现某进程是否接受libwrap的控制取决于发起此进程的程序在编译时是否针对 libwrap进行编译的

判断服务程序是否能够由tcp_wrapper进行访问控制的方法：不是所有服务都支持TCP_Wrappers

ldd /PATH/TO/PROGRAM | grep libwrap.so

strings PATH/TO/PROGRAM | grep libwrap.so

配置文件：/etc/hosts.allow, /etc/hosts.deny

检查顺序：hosts.allow，hosts.deny（默认允许）注意:一旦前面规则匹配,直接生效,将不再继续

基本语法: daemon_list@host: client_list [ :options :option… ]

单个应用程序的二进制文件名，而非服务名.

例如vsftpd 以逗号或空格分隔的应用程序文件名列表如:sshd,vsftpd

ALL表示所有接受tcp_wrapper控制的服务程序

主机有多个IP,可用@hostIP来实现控制如: in.telnetd@192.168.0.254

EXCEPT用法：

示例：vsftpd: 172.16. EXCEPT 172.16.100.0/24 EXCEPT 172.16.100.1

PAM认证机制

使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序

一种认证框架,自身不做认证

PAM 是关注如何为服务验证用户的 API,通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开

PAM相关文件

模块文件目录：/lib64/security/*.so

环境相关的设置：/etc/security/

主配置文件: /etc/pam.conf 默认不存在

为每种应用模块提供一个专用的配置文件：/etc/pam.d/APP_NAME

注意：如/etc/pam.d存在 /etc/pam.conf 将失效

PAM认证一般遵循这样的顺序：Service(服务)→PAM(配置文件)→pam_*.so

PAM认证首先要确定那一项服务，然后加载相应的PAM的配置文件(位于 /etc/pam.d下)，最后调用认证文件(位于/lib/security下)进行安全认证

PAM认证过程：

1.使用者执行/usr/bin/passwd 程序,并输入密码

2.passwd开始调用PAM模块,PAM模块会搜寻passwd程序的PAM相关设置文件, 这个设置文件一般是在/etc/pam.d/里边的与程序同名的文件,即PAM会搜寻

/etc/pam.d/passwd此设置文件

3.经由/etc/pam.d/passwd设定文件的数据,取用PAM所提供的相关模块来进行验证

4.将验证结果回传给passwd这个程序,而passwd这个程序会根据PAM回传的结果决定下一个动作（重新输入密码或者通过验证）

通用配置文件/etc/pam.conf格式

application type control module-path arguments

专用配置文件/etc/pam.d/* 格式

type control module-path arguments

服务名（application） telnet、login、ftp等

服务名字“OTHER”代表所有没有在该文件中明确配置的其它服务

模块类型（module-type）

control PAM库该如何处理与该服务相关的PAM模块的成功或失败情况

module-path 用来指明本模块对应的程序文件的路径名

Arguments 用来传递给该模块的参数

Auth 账号的认证和授权

Account 与账号管理相关的非认证类的功能,如:用来限制/允许用户对某个服务的访问时间,当前有效的系统资源(最多可以有多少个用户),限制用户的位置(例如：root用户只能从控制台登录)

Password 用户修改密码时密码复杂度检查机制等功能

Session 用户获取到服务之前或使用服务完成之后需要进行一些附加的操作, 如：记录打开/关闭数据的信息，监视目录等

-type 表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用

module-path: 模块路径

相对路径: /lib64/security目录下的模块可使用相对路径如:pam_shells.so、pam_limits.so

绝对路径: 模块通过读取配置文件完成用户对系统资源的使用控制 /etc/security/*.conf

注意: 修改PAM配置文件将马上生效

建议:编辑pam规则时,保持至少打开一个root会话,以防止root身份验证错误

Arguments 用来传递给该模块的参数

PAM模块示例

模块：pam_shells

功能：检查有效shell

man pam_shells

示例：不允许使用/bin/csh的用户本地登录

vim /etc/pam.d/login

auth required pam_shells.so

vim /etc/shells

去掉 /bin/csh

useradd –s /bin/csh testuser

testuser将不可登录

tail /var/log/secure

示例：pam_limits.so

限制用户最多打开的文件数和运行进程数

/etc/pam.d/system-auth

session required pam_limits.so

vim /etc/security/limits.conf

apache – nofile 10240 apache用户可打开10240个文件

student hard nproc 20 student用户不能运行超过20个进程