linux安全机制介绍.pptVIP

* Pam_env.so是进行用户环境初始化，用pam_unix.so进行检查用户名和密码，如果成功了，那么就不继续进行验证，可以登陆。否则进行pam_deny.so的验证，该模块表示无条件拒绝。 * Pam_nologin模块是检查某个文件是否存在的。 Linux 安全机制介绍 博辕仝鹏 Linux PAM 传统认证机制介绍 传统上,当一个应用程序有身份识别的需求,它就不得不把某一种验证算法写进去. 例如,就传统的UN*X系统而言,核对使用者身份的方法就是要求用户输入正确的密码. 这密码,除了开头的两个字符作为salt,剩下的是加密过的(经由crypt(3)). 接著用户被验证这个加密过的密码是否与他在密码档(就是/etc/passwd文件)中他的那笔记录的第二栏相符.在这样的系统里,绝大部份权限的授予是基于这种单一的认证机制. 权限决定于个人的识别码(uid)和不同群组的成员.服务和程式是否可用由个人和群组的识别码决定.传统上,群组关系经由/etc/group文件中的记录来赋予.不幸的是,随着计算机速度的不断提高,再加上满世界的关于网路计算的介绍,使得象这样曾是安全的验证机制,变得易受攻击了.面对这样的现实,新的验证方法正在持续的开发中  Linux PAM PAM 介绍 Linux-PAM (Linux下的可插入式认证模组) 是一套共享函数库,允许系统管理员来决定应用程式如何识别用户.就是用不着(重写和)重新编译一个(支援PAM的)程式,就可以切换它所用的认证机制. 你可以整体升级你的认证系统而不用去管应用程式本身. Linux PAM PAM 作用和目标 Linux-PAM项目的目标是把赋权部分的开发以可靠的合适的鉴定模式从软件中分离出来。这目标已经通过提供一组库函数实现了，应用程序可以用这些函数来请求验证某个用户。这个 PAM 由特定的系统文件配置,/etc/pam.conf (或者是在/etc/pam.d/里的一系列配置文件) 以经由特定的可用的认证模组来鉴定某个用户的请求。 这些个模组通常位于/usr/lib/security目录并且以可动态加载的目标文件的形式出现 Linux PAM PAM 认证机制 linux PAM 查看某个程序是否支持PAM，使用命令： #ldd?`which?cmd`?|?grep?libpam? //cmd就代表查看的程序名 例如sshd #ldd `which sshd` | grep libpam,如果包含libpam.so库，那么该程序就支持PAM验证。 举个不是特别恰当的例子：PAM机制就相当于给一个房屋安装防盗门，也就是对要进入这间屋子的人进行控制，不让这间屋子处于一种任何人都可以随便进入的状态。 支持PAM验证呢，就是表示这屋子给安装防盗门预留了空位， 不支持PAM呢，就是说房子整个就是封闭的，人根本进不了，或者是房子基本没有墙，不需要对出入进行限制。 在PAM机制中，PAM模块就相当于是防盗门上可以安装的各种锁具，这些锁具各有不同的特点和功能，你可以按需要安装。 相同的，在PAM中，程序的配置文件就相当于这个防盗门的制作和安装方案，安在什么地方，在支持的各种锁具中选择合适的锁，然后是开这些锁的先后顺序等这些具体使用规范。 备注：PAM的配置文件一般存放在/etc/pam.conf文件，或者/etc/pam.d/目录下。不过现在一般都会存放在/etc/pam.d/目录下，之下是相对于每个需要被PAM控制的程序的独立配置文件。当一个程序的验证方式配置在pam.conf和pam.d/下某文件中出现时，以pam.d/目录下文件为准。 linux PAM 支持PAM的OS PAM 最初是由 Sun Microsystems 于 1995 年开发的，并且以下操作系统版本（及更高版本）都提供支持： RedHat 5.0,5.2,5.4,6.2 SUSE 6.2 Debian 2.2 Mandrake 5.2 Caldera 1.3 TurboLinux 3.6 最新版本的 Solaris?、AIX?、HP-UX 和 Mac OS? X 也支持 PAM。PAM 后来被标准化为 X/Open UNIX? 标准化流程（在 X/Open 单点登录服务（XSSO）架构中）的一部分。 linux