网络操作系统_06.ppt

第6章 服务配置与管理 Linux服务管理 PAM认证 TCPWrappers与xinetd访问控制 主机防火墙 6.1 Linux服务管理 服务与守护进程的概念 Linux网络服务定义文件/etc/services 文件格式 端口范围 作用：记录标准端口设置和服务名（可用于配置文件参数） Linux服务启动脚本 服务启动脚本目录：/etc/rc.d/init.d 运行级别 /etc/rc.d/rcN.d 符号链接的命名规则 启动脚本的运行顺序P191 手动执行服务启动脚本 init.d脚本 service命令 配置服务启动状态 chkconfig 常用参数 实质：改变符号链接 实例：修改level3的vsftp服务 ntsysv 文本交互界面 配置当前级别下系统启动时服务是否自动启动 使用图形界面工具管理服务 停用不必要的服务 查看当前正在运行的服务 chkconfig/service的替代品：systemctl systemctl是systemd的一部分，systemd是由Lennart Poettering带头开发，旨在取代传统的init的软件；饱受争议的同时逐渐为各大发行版所采用； Fedora16之后都使用systemctl来取代chkconfig/service，原有命令依然存在； 新老命令的对比： 6.2 PAM认证 PAM概述 PAM认证机制的提出 身份验证的发展 各种验证方案的缺点：实现鉴别功能的代码通常作为应用程序的一部分而一起编译，缺乏灵活性 1995年，SUN提出PAM认证机制，使具体认证过程的实现和应用程序相对独立 PAM的体系结构 PAM 为了实现其插件功能和易用性，它采取了分层设计思想：让各鉴别模块从应用程序中独立出来，然后通过PAM API作为两者联系的纽带，这样应用程序就可以根据需要灵活地在其中“插入”所需鉴别功能模块，从而真正实现了“鉴别功能，随需应变”，其体系如下图： PAM API 起着承上启下的作用，它是应用程序和鉴别模块之间联系的纽带：当应用程序调用 PAM API 时,应用接口层按照配置文件 pam.conf 的规定，加载相应的鉴别模块。然后把请求（即从应用程序那里得到的参数）传递给底层的鉴别模块,这时鉴别模块就可以根据要求执行具体的鉴别操作了。当鉴别 模块执行完相应操作后，将结果返回给应用接口层，然后由接口层根据配置的具体情况将来自鉴别模块的应答返回给应用程序。 （参P194） PAM认证的优势 可以独立为各种服务/应用程序提供各种认证方案 为管理员和程序员在进行用户认证处理时提供灵活性 提供统一的认证接口 PAM认证的应用 PAM已经是Linux系统最主要的安全认证模式 本地账户的局限性和缺点 PAM模块 不同的认证方法和功能，通过不同的PAM模块实现 PAM模块实际上是.so的动态链接库，位于/lib/security目录下，可根据需要动态的添加、删除、修改 实际需求中，有时候不仅要验证口令，可能要求验证用户的帐户是否已经过期、记录日志等，所以 PAM 在模块层除了提供鉴别模块外，同时提供了支持帐户管理、会话管理以及口令管理功能的模块，四类模块功能如下： auth：认证模块 account：账户管理模块，如是否运行登录、是否过期等 session：会话管理模块，如登录/退出前后要进行的操作 password：密码管理，如修改密码 应用根据需要调用不同的模块，如仅需要密码，或需要密码和指纹 配置PAM 配置文件 每个支持PAM的应用程序或服务，都在/etc/pam.d目录中有一个相应的配置文件，配置文件名通常和服务/应用程序名称相同，配置文件的作用主要是为应用选定具体的鉴别模块，模块间的组合以及规定模块的行为。 配置文件有许多登记项(每行对应一个登记项)组成，每一行又分为四列： 模块类型 控制标记 模块路径 [模块参数] 控制标记 规定如何处理模块的成功和失败情况，分四类： required：用户通过鉴别的必要条件，如果认证失败，先继续其他认证，最后返回失败 requisite：如果失败，立刻返回失败 sufficient：充分条件，如果成功，且前面的required没有失败，则立即返回成功；如果失败，则最终结果根据后续认证而定 optional：成功或失败，不影响最终结果 incude：表示在验证过程中调用其他的PAM配置文件（大多数是system-auth ） 模块路径 标准模块（/lib/security/下的.so），使用模块名（相对路径） 其他模块，使用绝对路径名 模块参数 可选项，根据具体模块而定，多个参数间用空格分隔 配置文件分析 system-auth vsftpd system-auth #%PAM-1.0 auth