linux修改su的PAM配置文件,linux pam安全认证模块su命令的安全隐患
PAM安全認證
1、su命令的安全隱患
默認情況下,任何用戶都允許使用su命令,從而有機會反復嘗試其他用戶(如root)的登錄密碼,帶來安全風險。為了增強sum命令的使用控制,可以借助PAM認證模塊,只允許極個別用戶使用su命令進行切換。
2、可插拔認證模塊PAM(pluggable Authentication Modules)
(1)PAM簡介
PAM是一種高效而且靈活便利的用戶級別的認證方式,它也是當前Linux服務器普遍使用的認證方式。
PAM提供了對所有服務進行認證的中央機制,適用于login,遠程登錄(telent,rlogin,fsh,ftp),su等應用程序。系統管理員通過PAM配置文件來制定不同應用程序的不同認證策略。
(2)PAM認證管理
pam認證一般遵循的順序:Service(服務)——PAM——prm_*.so
PAM認證首先要確定那一項服務,然后加載相應的PAM的配置文件(位于/etc/pam.d下),最后調用認證文件(32位系統位于/lib/security下,64位系統位于/lib64/security下)進行安全認證。
用戶訪問服務器的時候,服務器的某一個服務進程把用戶的請求發送到PAM模塊進行認證。不同的應用程序所對應的PAM模塊也是不同。
如果想查某個程序是否支持PAM認證,可以用ls命令進行查看,如查看su是否支持PAM模塊認證:ls /etc/pam.d|grep su
常見的四種認證類型
認證類型
意義
作用
auth
認證管理
接受用戶和密碼,進而對該用戶的密碼進行認證
account
賬戶管理
檢查賬戶是否被允許登錄系統,賬號是否已過期,賬號的登錄是否有時間段的限制等權限
password
密碼管理
主要是用來修改用戶的密碼
session
會話管理
主要是提供對會話的管理和記賬
使用PAM認證模塊,限制某個命令或是服務的使用權限
vi編輯該命令在/etc/pam.d/下對應的配置文件,啟用pam_wheel模塊
添加授權用戶到wheel組
示例:
設置允許用戶amder和user1使用su命令進行切換
[root@localhost ]# vi /etc/pam.d/su
#%PAM-1.0
auth??????????? sufficient????? pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth?????????? sufficient????? pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth?????????? required??????? pam_wheel.so use_uid?? #把最前面井號取消
auth??????????? substack??????? system-auth
auth??????????? include???????? postlogin
account???????? sufficient????? pam_succeed_if.so uid = 0 use_uid quiet
account???????? include???????? system-auth
password??????? include???????? system-auth
session???????? include???????? system-auth
session???????? include???????? postlogin
session???????? optional??????? pam_xauth.so
把兩個用戶添加到組里
[root@localhost ~]# gpasswd -M amder,user1 wheel
把組添加到配置文件里
[root@localhost ~]# grep wheel /etc/group
wheel:x:10:amder,user1
是一個組的有權su切換用戶,沒有權限拒絕su切換
[amder@localhost ~]$ su user1
密碼:
[user1@localhost amder]$
[xiao1@localhost amder]$ su amder ? ? ? ?#xiao1無法使用su命令
密碼:
su: 密碼不正確
總結
以上是生活随笔為你收集整理的linux修改su的PAM配置文件,linux pam安全认证模块su命令的安全隐患的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: linux c统计进程网络读写,linu
- 下一篇: linux找回rm的文件夹,Linux