作爲一個開放源代碼的操作系統,linux系統以其安全性,高效穩定而廣泛應用,主要從賬戶安全,系統引導,登錄控制的角度,優化linux系統的安全性,linux的環境的弱口令檢查,網絡掃描等安全工具的構建和使用,幫助運維人員查找安全隱患,及時採取有針對性的措施。
PAM安全認證過程簡單介紹
su命令的安全隱患—默認情況下,任何用戶都允許使用su命令,從而有機會反覆嘗試其他用戶(如root)的登錄密碼,帶來安全風險。爲了增強su命令的使用控制,可以藉助PAM認證模塊,只允許極個別用戶使用su命令進行切換。
PAM簡介
PAM是–種高效而且靈活便利的用戶級別的認證方式,它也是當前Linux服務器普遍使用的認證方式。
PAM提供了對所有服務進行認證的中央機制,適用於login,遠程登錄telent,rlogin,fsh,ftp, su等應用程序。系統管理員通過PAM配置文件來制定不同應用程序的不同認證策略。
PAM認證原理
PAM認證一般遵循的順序: Service (服務)→PAM-→pam_ *.so
PAM認證首先要確定哪一項服務, 然後加載相應的PAM的配置文件(位於/etc/pam.d下), 最後調用認證文件 (32位系統位於/ib/security 下,64位系統位於/lib64/security 下)進行安全認證。
常見的四種認證類型
auth認證管理(authentication management)
作用:接受用戶名和密碼,進而對該用戶的密碼進行認證
account賬戶管理(account management )
作用:檢查賬戶是否被允許登錄系統,賬號是否E過期,賬號的登錄是否有時間段的限制等
password密碼管理(password management)
作用:主要是用來修改用戶的密碼
session會話管理(session management)
作用:主要是提供對會話的管理和記賬(accounting)
常見的五種控制類型
required驗證失敗時仍然繼續,但返回Fail
requisite驗證失敗則立即結束整個驗證過程,返回Fail
sufficient驗證成功則立即返回,不再繼續,否則忽略結果並繼續
optional不用於驗證,只是顯示信息(通常用於session類型)
include不進行認證,轉到後面PAM模塊進行認證
