歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> 更多Linux

PAM認證模塊使用實例

概述:本文給出幾個通過自定義配置PAM提高網絡服務安全性的例子,希望對試圖進一步了解PAM的朋友起到拋磚引玉的作用。 實例一:系統使用proFTPd提供ftp服務,但是不希望任何用戶都可以訪問ftp服務,希望可以定義一個文件,只有在該文件中定義的用戶可以使用ftp服務。 通過分析需求,我們可以知道,也就是要實現基於用戶名的ftp服務的訪問控制。通過閱讀proftpd的文檔,我們可以發現,proftpd是完全支持PAM的。所以我們的實現的思路和步驟是這樣的: 首先,打開proftpd的PAM支持,也就是說,告訴proftpd用戶認證讓PAM去完成。這一點可以通過幾個proftpd的配置選項來實現,以下是我們的proftpd.conf配置文件的內容: #/etc/proftpd.conf ServerName "proftpd for real user" ServerType standalone DefaultServer on ServerIdent off Port 21 Umask 022 MaxInstances 3 User nobody Group nobody UseReverseDNS off AuthPAM on AuthPAMAuthoritative on AuthPAMConfig ftp DefaultRoot ~ AllowOverwrite on 我們對關於PAM的幾個選項作個說明: AuthPAM:設置是否采用PAM用戶認證模塊進行用戶認證。 AuthPAMAuthoritative:是否使用PAM作為最終的用戶認證方法。 AuthPAMConfig:指定進行PAM認證時使用的配置文件名稱,PAM配置文件位於 /etc/pam.d/目錄下。 這樣設置以後,我們的proftpd就可以支持PAM認證方法了。 我們這樣定義/etc/pam.d/ftp文件: [root@test /root]# more /etc/pam.d/ftp #%PAM-1.0 auth required /lib/security/pam_listfile.so item=user sense=allow file =/etc/ftpwho onerr=fail auth required /lib/security/pam_pwdb.so shadow nullok account required /lib/security/pam_pwdb.so session required /lib/security/pam_pwdb.so 其中的pam_listfile.so模塊就是用來實現基於用戶的ftp控制。Item=user就表明是通過用戶名進行控制,sense=allow表示如果用戶名出現在/etc/ftpwho文件中就返回認證成功信息,file=/etc/ftpwho指定配置文件,onerr=fail表示如果出現某些錯誤(比如無法打開配置文件等)時返回的結果,這裡是失敗信息。關於pam_listfile模塊的詳細資料,可以參考解決方案中的“常見的PAM認證模塊簡介”系列文章。 然後,我們在/etc下建立ftpwho文件,並在其中加入可以進行ftp訪問的用戶名,要注意每個用戶占一行,之後重啟動proftpd,就可以根據這個配置文件通過用戶名來對ftp訪問進行控制了。 實例二:控制可以登錄系統的用戶,只有root可以從本地登錄,bye2000以及tom用戶可以從192.168.1.0網段登錄,其他用戶均不可以登錄系統。 修改/etc/pam.d/login文件如下所示: root@test /root]# more /etc/pam.d/login #%PAM-1.0 auth required /lib/security/pam_securetty.so auth required /lib/security/pam_stack.so service=system-auth auth required /lib/security/pam_nologin.so account required /lib/security/pam_stack.so service=system-auth account required /lib/security/pam_Access.so accessfile=/etc/login.conf


passWord required /lib/security/pam_stack.so service=system-auth session required /lib/security/pam_stack.so service=system-auth session optional /lib/security/pam_console.so 即,我們在原來的基礎上加入了以下這一條規則: account required /lib/security/pam_access.so accessfile=/etc/login.conf 這條規則的意思時,我們使用pam_access模塊,通過配置文件/etc/login.conf來對用戶訪問進行控制,accessfile參數即指明了配置文件的完整路徑。 根據需求,我們的/etc/login.conf文件內容如下: [root@test /root]# more /etc/login.conf +:root:LOCAL +:bye2000 tom:192.168.1. -:ALL:ALL 該配置文件說明: 該文件的每一行由如下三個字段構成,中間使用冒號分割: 權限 : 用戶 : 來源 權限字段可以是”+”(即允許訪問),”-”(禁止訪問); 用戶字段可以是用戶名、組名以及諸如user@host格式的用戶名,ALL表示任何人, 具有多個值時,可以用空格分開。 來源字段可以是tty名稱(本地登錄時)、主機名、域名(以”.”開始),主機ip地址,網絡號(以”.”結束)。ALL表示任何主機,LOCAL表示本地登錄。 可以使用EXCEPT操作符來表示除了…之外。 所以: +:root:LOCAL---表示root用戶可以從本地登錄。 +:bye2000 tom:192.168.1.---表示bye2000和tom可以從192.168.1.0/24網段telnet登錄。 -:ALL:ALL---表示拒絕其他任何人登錄。 關於pam_access模塊的詳細資料,可以參考解決方案中的“常見的PAM認證模塊簡介”系列文章。



所以: +:root:LOCAL---表示root用戶可以從本地登錄。 +:bye2000 tom:192.168.1.---表示bye2000和tom可以從192.168.1.0/24網段telnet登錄。 -:ALL:ALL---表示拒絕其他任何人登錄。 關於pam_access模塊的詳細資料,可以參考解決方案中的“常見的PAM認證模塊簡介”系列文章。



Copyright © Linux教程網 All Rights Reserved