當前位置：首頁 > 运维知识 > linux >内容正文

linux

linux修改su的PAM配置文件,linux pam安全认证模块su命令的安全隐患

發布時間：2023/12/2 linux 42 豆豆

生活随笔收集整理的這篇文章主要介紹了 linux修改su的PAM配置文件,linux pam安全认证模块su命令的安全隐患小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

PAM安全認證

1、su命令的安全隱患

默認情況下，任何用戶都允許使用su命令，從而有機會反復嘗試其他用戶(如root)的登錄密碼，帶來安全風險。為了增強sum命令的使用控制，可以借助PAM認證模塊，只允許極個別用戶使用su命令進行切換。

2、可插拔認證模塊PAM(pluggable Authentication Modules)

(1)PAM簡介

PAM是一種高效而且靈活便利的用戶級別的認證方式，它也是當前Linux服務器普遍使用的認證方式。

PAM提供了對所有服務進行認證的中央機制，適用于login,遠程登錄(telent,rlogin,fsh,ftp),su等應用程序。系統管理員通過PAM配置文件來制定不同應用程序的不同認證策略。

(2)PAM認證管理

pam認證一般遵循的順序：Service(服務)——PAM——prm_*.so

PAM認證首先要確定那一項服務，然后加載相應的PAM的配置文件(位于/etc/pam.d下)，最后調用認證文件(32位系統位于/lib/security下，64位系統位于/lib64/security下)進行安全認證。

用戶訪問服務器的時候，服務器的某一個服務進程把用戶的請求發送到PAM模塊進行認證。不同的應用程序所對應的PAM模塊也是不同。

如果想查某個程序是否支持PAM認證，可以用ls命令進行查看，如查看su是否支持PAM模塊認證：ls /etc/pam.d|grep su

常見的四種認證類型

認證類型

意義

作用

auth

認證管理

接受用戶和密碼，進而對該用戶的密碼進行認證

account

賬戶管理

檢查賬戶是否被允許登錄系統，賬號是否已過期，賬號的登錄是否有時間段的限制等權限

password

密碼管理

主要是用來修改用戶的密碼

session

會話管理

主要是提供對會話的管理和記賬

使用PAM認證模塊，限制某個命令或是服務的使用權限

vi編輯該命令在/etc/pam.d/下對應的配置文件，啟用pam_wheel模塊

添加授權用戶到wheel組

示例：

設置允許用戶amder和user1使用su命令進行切換

[root@localhost ]# vi /etc/pam.d/su

#%PAM-1.0

auth??????????? sufficient????? pam_rootok.so

# Uncomment the following line to implicitly trust users in the "wheel" group.

#auth?????????? sufficient????? pam_wheel.so trust use_uid

# Uncomment the following line to require a user to be in the "wheel" group.

#auth?????????? required??????? pam_wheel.so use_uid?? #把最前面井號取消

auth??????????? substack??????? system-auth

auth??????????? include???????? postlogin

account???????? sufficient????? pam_succeed_if.so uid = 0 use_uid quiet

account???????? include???????? system-auth

password??????? include???????? system-auth

session???????? include???????? system-auth

session???????? include???????? postlogin

session???????? optional??????? pam_xauth.so

把兩個用戶添加到組里

[root@localhost ~]# gpasswd -M amder,user1 wheel

把組添加到配置文件里

[root@localhost ~]# grep wheel /etc/group

wheel:x:10:amder,user1

是一個組的有權su切換用戶，沒有權限拒絕su切換

[amder@localhost ~]$ su user1

密碼：

[user1@localhost amder]$

[xiao1@localhost amder]$ su amder ? ? ? ?#xiao1無法使用su命令

密碼：

su: 密碼不正確

總結

以上是生活随笔為你收集整理的linux修改su的PAM配置文件,linux pam安全认证模块su命令的安全隐患的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇： linux c统计进程网络读写,linu
下一篇： linux找回rm的文件夹,Linux