CIWSecurity_第三部分_系统安全技术与实践.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 管理性帐户：通常使用普通帐户进行登陆，当用户执行管理性任务时，采用具有管理权利的帐户登陆 * * * * * * * * * /etc/passwd: Linux的用户分成3组：管理用户、服务用户和普通用户，所有用户都通过/etc/passwd文件中的语句进行配置 文件中第2列为Password，如果显示为x，则表示在/etc/shadow中存放加密口令 /etc/shadow： 默认只有根用户可以读取，包含加密的口令，以及密码和帐号的管理策略 /etc/group： 存放Linux的组信息，该文件的内容任何用户都可以读取 /etc/gshadow： 用于定义用户组口令、组管理员等信息，该文件只有root用户可以读取 * PAM（Pluggable Authentication Modules ）是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API，将系统提供的服务和该服务的认证方式分开，使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序，同时也便于向系统中添加新的认证手段。 PAM最初是集成在Solaris中，目前已移植到其它系统中，如Linux、SunOS、HP-UX 9.0等。 ? 在Linux中，必须使用配置文件来配置PAM，这些文件驻留在/etc/pam.d和/etc/security/目录中： /etc/pam.d/：包含允许你决定在用户登录前必须发生的事件的文件； /etc/security/：包含在登录到系统后允许你设置有关用户和守护进程的限制的文件； /lib/security/：PAM模块的实际位置。 * PAM支持的四种管理类型： 1、认证管理（authentication management） 主要是接受用户名和密码，进而对该用户的密码进行认证。 2、帐户管理（account management） 主要是检查帐户是否被允许登录系统，帐号是否已经过期，帐号的登录是否有时间段的限制等等。 3、密码管理（password management） 主要是用来控制不让用户在登录控制台多次尝试登录，设置登录次数和口令的长度极限。 4、会话管理（session management） 主要是提供对会话的管理和记账（accounting），限定用户登录Linux服务器的次数。 ? PAM的配置 PAM的配置是通过单个配置文件/etc/pam.conf。RedHat还支持另外一种配置方式，即通过配置目录/etc/pam.d/，且这种的优先级要高于单个配置文件的方式。 ? 使用配置文件/etc/pam.conf 该文件是由如下的行所组成的： service-name module-type control-flag module-path arguments service-name服务的名字，比如telnet、login、ftp等，服务名字“OTHER”代表所有没有在该文件中明确配置的其它服务。 ? 使用配置目录/etc/pam.d/（只适用于RedHat Linux） 该目录下的每个文件的名字对应服务名，例如ftp服务对应文件/etc/pam.d/ftp。如果名为xxxx的服务所对应的配置文件/etc/pam.d/xxxx不存在，则该服务将使用默认的配置文件/etc/pam.d/other。每个文件由如下格式的文本行所构成： module-type control-flag module-path arguments 每个字段的含义和/etc/pam.conf中的相同。 module-type模块类型有四种：auth、account、session、password，即对应PAM所支持的四种管理方式。同一个服务可以调用多个PAM模块进行认证，这些模块构成一个stack。 control-flag用来告诉PAM库该如何处理与该服务相关的PAM模块的成功或失败情况。它有四种可能的值：required，requisite，sufficient，optional。 required 表示本模块必须返回成功才能通过认证，但是如果该模块返回失败的话，失败结果也不会立即通知用户，而是要等到同一stack 中的所有模块全部执行完毕再将失败结果返回给应用程序。可以认为是一个必要条件。 requisite 与required类似，该模块必须返回成