Linux-PAM系统管理指南(2)

　　摘要:　在以下的内容中我们将讨论如何安全使用Linux-PAM并介绍Linux-PAM模块的用法
　　
　　5.Linux-PAM的安全问题
　　
　　　　这一章我们将讨论如何安全使用Linux-PAM。
　　
　　5.1 如果出现错误
　　
　　　　如果发生错误，Linux-PAM可能会改变系统的安全性。这取决于你自己的选择，你可以选择不安全(开放系统)和绝对安全(拒绝任何访问)。通常，Linux-PAM在发生错误时，倾向于后者。任何的配置错误都可能导致系统整个或者部分无法访问。
　　
　　　　能够遇到最大的问题可能就是Linux-PAM的配置文件(/etc/pam.d/*或者/etc/pam.conf)被删除了。如果发生这种事情，你的系统就会被锁住。
　　
　　　　不过，还是有办法进行恢复的。最好的方法就是重新启动系统进入单用户模式，然后进行正确地设置。下面是David Wood在邮件中提出的解决步骤：
　　
　　首先，以单用户模式启动系统，出现LILO boot:时输入： LILO boot:linux single >——此处假设使用的内核标签是linux，可以按TAB键列出可用的内核
　　
　　这样你不用登录就可以进入系统了。
　　
　　如果这个办法不行，你还可以使用急救盘启动系统。
　　
　　假设你的PAM系统只是配置文件被破坏，先按照如下步骤进行处理： cd /etc
　　mv pam.conf pam.conf.orig
　　mv pam.d pam.d.orig
　　mkdir pam.d
　　cd pam.d
　　
　　接着，使用编辑程序编辑/etc/pam.d/other文件，它应该包括以下四行：
　　
　　auth required pam_unix_auth.so
　　account required pam_unix_acct.so
　　password required pam_unix_passwd.so
　　session required pam_unix_session.so
　　
　　然后，你就可以登录了。如果还是不行，那有可能是因为输入错误或者更严重的问题。如果是输入错误，会在日志文件中留下记录，可以使用tail /var/log/messages查看。
　　
　　现在，你已经重新登录到系统了。下面的工作就是重新安装Linux-PAM和其它软件(假设是RedHat系统),使用如下命令重新安装PAM软件包： rpm -Uvh --force pam-*
　　
　　　　然后，需要安装(重新安装)libc库、util-linux、wuftp、NetKit等受影响的软件包。如果使用X系统，也需要重新安装。
　　
　　5.2 不要使用脆弱的other文件
　　
　　　　如果系统默认配置文件other的配置比较脆弱，系统很可能受到攻击的威胁。
　　
　　　　这是一个示例配置，pam_deny模块将拒绝所有的访问，而pam_warn模块将向auth.notice日志设备发送一条警告信息：
　　
　　??# The PAM configuration file for the `other' service
　　??#
　　??auth required pam_deny.so
　　??auth required pam_warn.so
　　??account required pam_deny.so
　　??account required pam_warn.so
　　??password required pam_deny.so
　　??password required pam_warn.so
　　??session required pam_deny.so
　　??session required pam_warn.so
　　
　　6.模块使用参考
　　
　　　　这一章我们将一块介绍Linux-PAM模块的用法
　　
　　6.1 access模块
　　
　　6.1.1 概要
　　
　　模块名
　　pam_access
　　
　　作者
　　Alexei Nogin
　　
　　维护者
　　作者
　　
　　提供的管理组功能
　　account
　　
　　系统依赖性
　　需要一个配置文件。默认情况下，使用/etc/security/access.conf作为配置文件，也可以指定别的文件。
　　
　　网络支持
　　通过PAM_TTY变量获得终端名，如果这个变量没有设置，就通过ttyname()函数获得标准输入文件描述符的终端名。还可以使用gethostname(),yp_get_default_domain(), gethostbyname()函数获得主机名、域名等信息，作为每个配置行的第三项。
　　
　　6.1.2 综述
　　
　　　　提供一种日志监控风格的登录访问控制机制
　　
　　6.1.3 account组件
　　
　　能够识别的参数
　　accessfile=/path/to/file.conf
　　
　　描述
　　这个模块提供一种日志监控风格的登录访问控制机制，这种机制是基于登录名、主机名、域名、internet地址、网络地址或者终端名的。A. Nogin把logdaemon-5.6(作者：Wietse Venema's)中的login_access.c文件做了许多改动，用到了这个模块中。
　　
　　这个模块的行为可以使用如下参数进行修正：
　　
　　accessfile=/path/to/file.conf 使用别的配置文件代替默认的配置文件/etc/security/access.conf。
　　
　　示例和建议
　　例如：在一个NIS服务器或者一个邮件服务器上，有很多用户，但是你不想让这些用户具有登录(login)能力。这时，建议你使用这个模块。
　　
　　如果你的模块放在/lib/security目录，而且使用/etc/pam.d/风格的配置，可以在/etc/pam.d/login、/etc/pam.d/rlogin、/etc/pam.d/rsh和/etc/pam.d/ftp文件中加入下面一行，来启动这个模块：
　　
　　account required /lib/security/pam_access.so
　　
　　注意：除非你的系统可以忽略.rhosts文件的作用，否则这个模块无法发挥作用。其中细节请参考对pam_rhost_auth模块的介绍。
　　
　　此外，在软件的发布中有一个示例access.conf配置文件。
　　
　　6.2 chroot模块
　　
　　6.2.1 概要
　　
　　模块名
　　pam_chrooot
　　
　　作者
　　Bruce Campbell
　　
　　维护者
　　作者
　　
　　提供的管理组功能
　　account、session、authentication
　　
　　网络支持
　　本地主机
　　
　　6.2.2 综述
　　
　　　　这个模块为普通用户提供一个假的文件系统，例如：在他们看来的/目录实际上是/some/where/else。
　　
　　　　如果系统中有几类用户，而你对安全问题又十分重视，就可以使用这个模块。它可以对用户能够看到的系统信息和能够运行的程序进行限制。
　　
　　6.2.3 account组件
　　
　　　　原著尚未完成
　　
　　6.2.4 session组件
　　
　　　　同上
　　
　　能够识别的参数
　　可以使用PAM的通用参数和日志级别作为其参数。
　　
　　示例和建议
　　提供合理的程序，例如只提供cat、ls、rm、cp和ed等。
　　
　　不要滥用这个模块，例如：你可以为每个用户安装一个隔离的环境，但是这样非常浪费磁盘空间。
　　
　　6.3 密码强度检查模块
　　
　　6.3.1 概要
　　
　　模块名
　　pam_cracklib
　　
　　作者
　　Cristian Gafton
　　
　　维护者
　　作者
　　
　　提供的管理组功能
　　password
　　
　　系统依赖性
　　需要libcrack库和字典/usr/lib/cracklib.dict。
　　
　　6.3.2 综述
　　
　　　　这个模块可以插入到实现password管理组功能的层叠模块中，为给定的程序提供密码强度检查。
　　
　　　　这个模块以如下方式工作：首先调用cracklib例程检查密码强度，如果密码不易破译，就进行下面的强度检查：
　　
　　新密码是否旧密码的回文。
　　新密码是否只是就密码改变了大小写
　　和旧密码是否相似。主要由difok参数控制，如果新旧密码之间不同的字符数目大于或等于这个参数就接受新的密码，这个参数的默认值是10或者新密码的1/2。为了避免对一个很长、很复杂的密码进行查询，还可以使用difignore参数。这个参数可以指定一个值，如果新的密码长度超过这个值，就不必进行这种检查，默认值是23。
　　是否新密码太短。由5个参数控制：minlen、dcredit、ucredit、lcredit和ocredit。在此就不一一介绍了。
　　新密码是否是旧密码的回环
　　这个密码以前是否用过。过去用过的密码可以在/etc/security/opasswd文件中找到。
　　　　对于标准的UNIX密码加密算法，即使没有参数，这个模块也会工作得很好。但是，对于MD5加密算法，密码可以超过8个字符，使用默认的设置将使用户很难找到满意的密码。MD5算法的默认设置要求新密码中和旧密码相同的字符不能超过1/2，而且是强制的。例如：旧的密码是"the quick brown fox jumped over the lazy dog"，那这个密码是很难被替换的:)。除此之外，MD5算法的默认设置还允许密码长度小于5个字符。因此，对于MD5系统需要对配置做一些调整，提高字符数的底限，减小对不同字符的比例限制。
　　
　　6.3.3 password组件
　　
　　能够识别的参数
　　debug、type=XXX、retry=N、difok=N、minlen=N、dcredit=N、ucredit=N、lcredit=N、ocredit=N、use_authtok
　　
　　描述
　　这个模块提示用户输入一个密码，然后根据一个系统字典和一组规则检查它的强度。
　　
　　默认情况下，它首先提示用户输入一个密码，如果认为强度足够，就提示用户重新输入一遍，以保证密码输入正确。完成这些动作后，就把这个密码产地给subsequent模块，由subsequent模块安装新的验证记号(也就是密码)。
　　
　　这个模块的动作可以通过一些参数改变：
　　
　　debug
　　把模块详细的行为信息写到syslog，但不包括密码信息。
　　
　　type=xxx
　　修改提示信息。默认的提示信息是："New UNIX password:"和"Retype UNIX password"。设置这个选项可以使xxx代替UNIX。
　　
　　retry=N
　　改变输入密码的次数，默认值是1。就是说，如果用户输入的密码强度不够就退出。可以使用这个选项设置输入的次数，以免一切都从头再来。
　　
　　difok=N
　　默认值为10。这个参数设置允许