Linux-PAM系统管理指南(1)

　　摘要:Linux-PAM是一组共享库，使用这些模块，系统管理者可以自由选择应用程序使用的验证机制。也就是说，勿需重新编译应用程序就可以切换应用程序使用的验证机制。甚至，不必触动应用程序就可以完全升级系统使用的验证机制
　　
　　1.简介
　　
　　　　Linux-PAM(Pluggable Authentication Modules for Linux.基于Linux的插入式验证模块)是一组共享库，使用这些模块，系统管理者可以自由选择应用程序使用的验证机制。也就是说，勿需重新编译应用程序就可以切换应用程序使用的验证机制。甚至，不必触动应用程序就可以完全升级系统使用的验证机制。
　　
　　　　在历史上，需要对用户进行验证的应用程序，必须同某种验证机制编译到一起。例如，传统的UN*X系统是使用密码对用户进行校验的。用户输入的密码经过crypt加密后，然后和/etc/passwd文件中的密文进行比较。在这种系统中，如果优先权的识别不是基于这种方式，就需要通过用户识别符和用户组识别符对优先权进行验证。服务和应用程序可以使用基于用户和用户组识别的验证方式。通常，用户组的分配是通过/etc/group文件。
　　
　　　　不幸的是，随着计算机速度的加快和网络的大范围普及，使用这种验证方式越来越不安全了。因此，人们开发了许多新的验证方法。
　　
　　　　Linux-PAM工程的目的就是分离应用软件和验证机制的开发。通过验证函数库可以实现上述目的。PAM库由本地的系统配置文件/etc/pam.conf或者/etc/pam.d/目录下的一些配置文件来设置。而模块以动态可加载目标文件(使用dloptn(3)函数打开)的形式保存在/usr/lib/security目录中。
　　
　　2.关于本文的一些说明
　　
　　　　在开始阅读本文时，你应该清楚本文假定特定的文件是在特定的目录中。我们遵照RFC-86的约定。有些Linux发布把这些文件放在不同的位置，因此如果你的系统是象RedHat之类的发布，那么你应该谨慎使用本文提供的例子。
　　
　　　　例如，本文假设PAM可加载目标文件(模块)是在/usr/lib/security/目录下，而在RedHat Linux系统中它们被放在了/lib/security目录下。因此，使用本文的例子时应该注意进行必要的转换。
　　
　　3.综述
　　
　　　　我们从一个例子开始讨论。首先找一个能够为用户提供服务的应用程序，login就是一个这样的程序。login要做两件事，首先查询用户，然后为用户提供所需服务，例如提供一个shell程序。
　　
　　　　通常，login会提示用户输入密码。然后对密码进行校验，这项任务就是Linux-PAM完成的。
　　
　　　　从程序员的角度看，Linux-PAM的任务就是校验用户的合法性。
　　
　　　　Linux-PAM具有很大的灵活性，系统管理者可以通过它自由选择使用的验证方式。你也可以自由选择应用程序使用的验证方式。Linux-PAM能够提供的验证方式多种多样，从绝对信任(pam_permit)到视网膜扫描、音频分析以及一次性口令，不一而足。
　　
　　　　为了描述Linux-PAM的灵活性，我们可以假想一种情况：一个系统管理者(父母)希望提高用户(他们的子女)的数学能力。他/她就可以通过一个孩子们非常喜欢的游戏“Shoot 'em up game”达成上述目的，当然前提是这个游戏能够使用PAM提供的验证机制。验证可以设置：每次孩子们要玩游戏时，都需要回答出一组小于12的随机数的乘积。这样孩子们每次玩游戏之前都可以练习乘法运算。随着他们的成长，可以增加数字的大小。
　　
　　　　Linux-PAM处理四种类型的任务：验证管理(auth)、帐户管理(account)、会话管理(session)和口令管理(password)。应用程序使用的管理方式通过相关的Linux-PAM配置文件设置。管理功能是有配置文件指定的模块完成的。
　　
　　　　应用程序X，它通过一些接口调用Linux-PAM库，而自己并不知道使用的验证方法。Linux-PAM库读出PAM配置文件的内容，根据配置文件加载程序X需要的模块。这些模块进入某个管理组并且按照配置文件设置的顺序层叠在一起。它们为应用程序执行各种验证任务。应用程序和用户之间通过conversation函数实现信息交换。
　　
　　3.1 入门
　　
　　　　下面是Seth Chaiklin说的一段话：
　　
　　从这一点来看，PAM应该工作在理想世界中，在这里所有的应用程序都没有错误。然而，事实远非如此。因此，如果你要使用PAM，需要考虑一些实际的问题。
　　如果你把Linux用作一个单用户系统，或者系统中的用户是相互信任的，那使用PAM没有多大意思。
　　　　你可以在没有重要东西的系统上取消PAM，这实际上可以带来一些方便。使系统象Win95。
　　
　　　　在网络环境下，就需要考虑用户验证的问题了。
　　
　　　　如果你使用Linux作为一个服务器，用它来提供一些不同的服务，这时PAM就体现了它的价值。一般情况下，通过使用不同的模块，程序可以搜索各种密码数据库，而程序本身勿需改写。下面是一些例子：
　　
　　apache有一个模块能够提供PAM服务。因此，对于特定目录的验证可以通过PAM完成，这意味着大量现有的PAM模块可以用来进行验证工作，包括RADIUS、NIS、NCP。
　　pppd有一个使用PAM验证的版本(来自RedHat)。
　　　　我可以把PAM由于任何需要验证的程序吗？
　　
　　　　可以说能也可以说不能。能，是指如果你能够修改源代码，就可以加入PAM验证功能；不能是指如果你无法修改源代码，那么在二进制可执行文件汇中是无法加入PAM验证功能的。
　　
　　　　我怎样才能区分程序是否使用了PAM验证？
　　
　　使用ldd命令，如果这个程序的使用的动态连接库没有libpam和libpam_misc，那它肯定不使用PAM验证。然而，还有可能已经包含这两个库了，但是因为某些问题，程序无法正常工作。因此需要更好的方法来测试。
　　对于需要使用PAM的程序，需要在/etc/pam.d目录中为其设置配置文件。配置文件的名字被编写进程序源代码中，通常和程序的名字是一样的，但不总是这样。例如：有个程序叫作pamprog，它的PAM配置文件是/etc/pam.d/pamprog。在配置文件中，只有下面两行： auth required pam_permit.so
　　auth required pam_warn.so
　　
　　　　现在对其进行测试。第一行，表示所有的用户都允许通过；第二行表示想syslog中写入一条警告信息。如果测试成功，就表示程序能够使用PAM进行验证。然后你可以在配置文件中加入更为复杂的验证功能。
　　
　　4.Linux-PAM配置文件
　　
　　　　Linux-PAM的目标就是为系统管理者提供最大限度的灵活性。系统管理者可以通过两种形式对Linux-PAM进行配置：单一配置文件/etc/pam.conf；或者是/etc/pam.d/目录。这一节我们将讨论其配置文件的语法。
　　
　　4.1 配置文件的语法
　　
　　　　读者首先应该明白Linux-PAM的记号是大小写敏感的。有两个特殊的符号：#和。配置文件中的注释以#开头，一般配置文件中每行是一个入口(除了注释)，但是如果某个入口的定义很长，可以通过使用转义符回行，而下一行也被看作是这个入口的一部分。
　　
　　　　一般/etc/pam.conf文件每行都是这种格式：
　　
　　??service-name module-type control-flag module-path arguments
　　
　　　　下面我们将对每个记号进行解释。除了这种方式之外，还可以使用/etc/pam.d/目录对Linux-PAM进行配置，稍后我们将对这种方式进行讲述。
　　
　　service-name
　　为这个入口分配的服务名。通常这是给定应用程序的会话名。例如：ftpd、rlogind、su等等。
　　
　　Linux-PAM还为默认的验证机制保留一个特殊的服务名，就是OTHER，大小写均可。注意，如果某个模块指定了以命名的服务，那OTHER就被忽略。
　　
　　modle-type
　　Linux-PAM当前有四种类型的模块：
　　
　　auth
　　这种类型的模块为用户验证提供两方面的服务。
　　
　　让应用程序提示用户输入密码或者其它的标记，确认用户的合法性；
　　通过它的凭证许可权限，设定组成员关系(不同于上面讨论的/etc/groups文件)或者其它优先权。
　　account
　　这类模块执行基于非验证的帐户管理。它主要用来限制/允许用户对某个服务的访问时间，当前有效的系统资源(最多可以有多少个用户)，限制用户的位置(例如：root用户只能从控制台登录)。
　　
　　session
　　这类模块的主要用途是处理为用户提供服务之前/后需要做的一些事情，包括：记录打开/关闭交换数据的信息，监视目录等。
　　
　　password
　　用来升级用户验证标记。
　　
　　control-flag
　　控制标志用来设置验证成功或者失败后PAM需要作出的反应。因为模块可以层叠(stacked,同样类型的模块依次执行)，控制标志可以决定每个模块的重要性。应用程序不会意识到单个模块成功或者失败，它只会收到Linux-PAM库成功或者失败的综合反应信息。层叠模块的执行顺序取决于/etc/pam.conf文件的入口顺序，入口列前的模块先执行。从Linux-PAM 6.0开始可以使用两种语法定义控制标志。
　　
　　简单的一种是使用单一关键词定义控制标志。有四个这样的关键词：required、requisite、sufficient和optional。
　　
　　Linux-PAM通过如下方式解释这些关键词：
　　
　　required
　　表示即使某个模块对用户的验证失败，也要等所有的模块都执行完毕之后，PAM才返回错误信息。这样做是为了不让用户知道被哪个模块拒绝。如果对用户验证成功，所有的模块都会返回成功信息。
　　
　　requisite
　　如果特定的模块对用户的验证失败，PAM马上返回一个错误信息，把控制权交回应用程序，不再执行其它模块进行验证。
　　
　　sufficient
　　表示如果一个用户通过这个模块的验证，PAM结构就立刻返回验证成功信息，把控制权交会应用程序。后面的层叠模块即使使