Linux服务器安全策略配置-PAM身份验证模块(二)

本文涉及的产品
运维安全中心(堡垒机),免费版 6个月
运维安全中心(堡垒机),企业双擎版|50资产|一周时长
简介:

○ 本文导航

关于PAM

PAM身份验证配置文件

PAM配置文件语法格式

PAM模块接口

PAM控制标志

PAM配置方法

PAM身份验证安全配置实例

  - 强制使用强密码(用户密码安全配置)

  - 用户SSH登录失败尝试次数超出限制后锁定账户(帐户锁定/解锁和时间设置)

  - 允许普通用户使用sudo而不是su(限制普通用户登录到root用户)

  - 禁止直接使用root用户通过SSH登录

pwgen复杂密码随机生成工具


关于PAM

Linux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。Linux-PAM是一套适用于Linux的身份验证共享库系统,它为系统中的应用程序或服务提供动态身份验证模块支持。在Linux中,PAM是可动态配置的,本地系统管理员可以自由选择应用程序如何对用户进行身份验证。PAM应用在许多程序与服务上,比如登录程序(login、su)的PAM身份验证(口令认证、限制登录),passwd强制密码,用户进程实时管理,向用户分配系统资源等。


PAM的主要特征是认证的性质是可动态配置的。PAM的核心部分是库(libpam)和PAM模块的集合,它们是位于文件夹/lib/security/中的动态链接库(.so)文件,以及位于/etc/pam.d/目录中(或者是/etc/pam.conf配置文件)的各个PAM模块配置文件。/etc/pam.d/目录中定义了各种程序和服务的PAM配置文件,其中system-auth文件是PAM模块的重要配置文件,它主要负责用户登录系统的身份认证工作,不仅如此,其他的应用程序或服务可以通过include接口来调用它(该文件是system-auth-ac的软链接)。此外password-auth配置文件也是与身份验证相关的重要配置文件,比如用户的远程登录验证(SSH登录)就通过它调用。而在Ubuntu、SuSE Linux等发行版中,PAM主要配置文件是common-auth、common-account、common-password、common-session这四个文件,所有的应用程序和服务的主要PAM配置都可以通过它们来调用。


使用如下命令判断程序是否使用了PAM:

root@HMing ~ # ldd /usr/bin/passwd | grep libpam

libpam_misc.so.0 => /lib64/libpam_misc.so.0 (0x00007fb74f748000)

libpam.so.0 => /lib64/libpam.so.0 (0x00007fb74eb45000)

如看到有类似的输出,说明该程序使用了PAM,没有输出,则没有使用。


PAM身份验证配置文件

/etc/pam.d/目录包含应用程序的PAM配置文件。例如,login程序将其程序/服务名称定义为login,与之对应的PAM配置文件为/etc/pam.d/login。

 

PAM配置文件语法格式

每个PAM配置文件都包含一组指令,用于定义模块以及控制标志和参数。每条指令都有一个简单的语法,用于标识模块的目的(接口)和模块的配置设置,语法格式如下:

module_interface      control_flag      module_name  module_arguments

如在/etc/pam.d/password-auth-ac配置文件中(CentOS),其中一行PAM模块接口定义如下

wKioL1kS5LnCkOKIAAAu27gBlu8683.png

PAM模块接口(模块管理组)

PAM为认证任务提供四种类型可用的模块接口,它们分别提供不同的认证服务:

√ auth - 认证模块接口,如验证用户身份、检查密码是否可以通过,并设置用户凭据
√ account - 账户模块接口,检查指定账户是否满足当前验证条件,如用户是否有权访问所请求的服务,检查账户是否到期
√ password  - 密码模块接口,用于更改用户密码,以及强制使用强密码配置
√ session - 会话模块接口,用于管理和配置用户会话。会话在用户成功认证之后启动生效

单个PAM库模块可以提供给任何或所有模块接口使用。例如,pam_unix.so提供给四个模块接口使用。


PAM控制标志

所有的PAM模块被调用时都会返回成功或者失败的结果,每个PAM模块中由多个对应的控制标志决定结果是否通过或失败。每一个控制标志对应一个处理结果,PAM库将这些通过/失败的结果整合为一个整体的通过/失败结果,然后将结果返回给应用程序。模块可以按特定的顺序堆叠。控制标志是实现用户在对某一个特定的应用程序或服务身份验证的具体实现细节。该控制标志是PAM配置文件中的第二个字段,PAM控制标志如下:

> required  - 模块结果必须成功才能继续认证,如果在此处测试失败,则继续测试引用在该模块接口的下一个模块,直到所有的模块测试完成,才将结果通知给用户。
> requisite  模块结果必须成功才能继续认证,如果在此处测试失败,则会立即将失败结果通知给用户。
> sufficient  - 模块结果如果测试失败,将被忽略。如果sufficient模块测试成功,并且之前的required模块没有发生故障,PAM会向应用程序返回通过的结果,不会再调用堆栈中其他模块。
> optional  - 该模块返回的通过/失败结果被忽略。当没有其他模块被引用时,标记为optional模块并且成功验证时该模块才是必须的。该模块被调用来执行一些操作,并不影响模块堆栈的结果。
> include - 与其他控制标志不同,include与模块结果的处理方式无关。该标志用于直接引用其他PAM模块的配置参数


PAM配置方法

所有的PAM配置方法都在man手册中有说明,比如要查找某个程序支持PAM模块的配置,可以使用man 加模块名(去掉.so)查找说明,如# man pam_unix。(模块名可以在目录/lib/security/或/lib64/security/中找到。)


PAM身份验证安全配置实例


一、强制使用强密码(用户密码安全配置)

PAM配置文件:/etc/pam.d/system-auth-ac

模块名称:pam_cracklib(仅适用于password模块接口)

模块参数:

minlen=12       密码字符长度不少于12位(默认为9)

lcredit=-1      至少包含1个小写字母

ucredit=-1      至少包含1个大写字母

dcredit=-1      至少包含1个数字

ocredit=-1      至少包含1个特殊字符

retry=3         配置密码时,提示3次用户密码错误输入

difok=6         配置密码时,新密码中至少6个字符与旧密码不同(默认为5)


其他常用参数:

reject_username    新密码中不能包含与用户名称相同的字段

maxrepeat=N        拒绝包含超过N个连续字符的密码,默认值为0表示此检查已禁用

maxsequence=N      拒绝包含大于N的单调字符序列的密码,例如’1234’或’fedcb’,默认情况下即使没有这个参数配置,一般大多数这样的密码都不会通过,除非序列只是密码的一小部分

maxclassrepeat=N   拒绝包含相同类别的N个以上连续字符的密码。默认值为0表示此检查已禁用。

use_authtok        强制使用先前的密码,不提示用户输入新密码(不允许用户修改密码)


模块名称:pam_unix (适用于account,auth, password和session模块接口)

模块参数:

remember=N     保存每个用户使用过的N个密码,强制密码不能跟历史密码重复

其他常见参数:

sha512          当用户下一次更改密码时,使用SHA256算法进行加密

md5             当用户更改密码时,使用MD5算法对其进行加密。

try_first_pass  在提示用户输入密码之前,模块首先尝试先前的密码,以测试是否满足该模块的需求。

use_first_pass  该模块强制使用先前的密码(不允许用户修改密码),如果密码为空或者密码不对,用户将被拒绝访问

shadow          用户保护密码

nullok          默认不允许空密码访问服务

use_authtok     强制使用先前的密码,不提示用户输入新密码(不允许用户修改密码)


 修改配置/etc/pam.d/system-auth-ac文件,在password模块接口行修改或添加配置参数如下:

password    requisite     pam_cracklib.so try_first_pass retry=3 type= reject_username minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=6

修改后的/etc/pam.d/system-auth-ac配置文件如下图所示

wKiom1kTFdGxIfOtAABrEkhupCg013.png

需要注意的是,我在这里展示的是在RHEL/CentOS下的配置,passwd程序的PAM配置文件涉及主配置文件/etc/pam.d/passwd和/etc/pam.d/system-auth-ac(也可以是/etc/pam.d/password-auth-ac),其中/etc/pam.d/passwd配置文件默认只包含了/etc/pam.d/system-auth-ac配置文件,因此对于以上PAM身份验证密码模块配置,只修改/配置该文件即可。或者在Ubuntu中,配置文件包括:/etc/pam.d/common-password、/etc/pam.d/common-account、/etc/pam.d/common-auth、/etc/pam.d/common-session。


测试PAM配置:

登录(su)普通用户使用passwd程序更新密码,如果输入的密码不符合要求,将不能修改

1
2
3
4
5
6
7
8
9
10
11
12
root@HMing ~  # su - hm      #登录到hm用户
hm@HMing ~ $  passwd          #修改密码
Changing password  for  user hm.
Changing password  for  hm.
(current) UNIX password:     #提示输入旧密码
New password:                #提示输入新密码,如果不满足要求,将会提示相关错误信息
Password unchanged
New password: 
BAD PASSWORD: is too simple
New password:                #当输入的密码满足要求时,才提示再次输入
Retype new password: 
passwd : all authentication tokens updated successfully.


二、用户SSH登录失败尝试次数超出限制后锁定账户(帐户锁定/解锁和时间设置)

为了进一步提高安全性,可以指定超过失败登录尝试次数后锁定用户。用户账户可以被解锁(可以由root用户主动解锁),或者在设定的时间后自动解锁。如在三次失败的登录尝试后锁定用户十分钟。需要在/etc/pam.d/password-auth-ac(或者在/etc/pam.d/sshd)文件添加以下参数:

auth        required      pam_tally2.so deny=3 unlock_time=600 onerr=succeed file=/var/log/tallylog

Ubuntu、SuSE Linux中,需要修改/etc/pam.d/common-auth配置文件


另外,使用PAM还可以限制在console控制台上登录,需要修改/etc/pam.d/system-auth配置文件(或者/etc/pam.d/login),添加如上auth配置字段即可。


一旦用户失败登录尝试次数达到3次,该帐户立刻被锁定,除非root用户解锁。root用户下使用如下命令解锁用户:

1
# pam_tally2 -u username -r --reset

查看用户登录失败信息:

1
# pam_tally2 -u username

如果要在3次失败登录尝试后永久锁定用户,那么需要删除unlock_time字段,除非root用户解锁该账户,否则将永久锁定。


pam_tally/pam_tally2模块参数:

全局选项

onerr=[succeed|fail]

file=/path/to/log   失败登录日志文件,默认为/var/log/tallylog

audit               如果登录的用户没有找到,则将用户名信息记录到系统日志中

silent              不打印相关的信息

no_log_info         不通过syslog记录日志信息


AUTH选项

deny=n              失败登录次数超过n次后拒绝访问

lock_time=n         失败登录后锁定的时间(秒数)

unlock_time=n       超出失败登录次数限制后,解锁的时间

no_lock_time        不在日志文件/var/log/faillog 中记录.fail_locktime字段

magic_root          root用户(uid=0)调用该模块时,计数器不会递增

even_deny_root      root用户失败登录次数超过deny=n次后拒绝访问

root_unlock_time=n  与even_deny_root相对应的选项,如果配置该选项,则root用户在登录失败次数超出限制后被锁定指定时间


三、允许普通用户使用sudo而不是su(限制普通用户登录到root用户)

Linux系统上默认存在一个wheel组,用于限制普通用户通过su登录到root用户,只有属于wheel组的用户成员才能使用su。但是在默认情况下,系统并没有启用这个功能,我们可以通过PAM启用它,或者修改为指定的组/用户使用su,当然指定为什么组可以按照要求而定。该配置通过pam_wheel模块指定。


首先启用whell组,使得只属于wheel组的用户可以使用su命令

需要在/etc/pam.d/su配置文件添加以下配置:

auth            required        pam_wheel.so use_uid

需要注意应该将这一行参数添加在/etc/pam.d/su文件的首部,否则PAM模块可能会跳过该项检查。配置完之后,我们就可以将需要用su权限的用户添加到wheel组中,如下:

1
# usermod -a -G wheel username

其次,如果你不想使用wheel组,而是使用其他的组代替,比如指定组名为myadmingroup的组拥有su的权限,需要这么做:

auth            required        pam_wheel.so use_uid group=myadmingroup

最后配置指定用户拥有sudo权限,要知道我们的目的是尽量少使用root身份的权限,sudo可以让用户仅仅在需要调用root用户权限的情况下调用。我们可以指定特定的组/用户使用sudo(不需要root密码)调用root权限。visudo打开配置文件

hmm    ALL=(ALL)     NOPASSWD: ALL   #允许hmm用户通过sudo执行任何命令(不需要输入密码)

%wheel  ALL=(ALL)    ALL             #允许wheel组成员使用sudo执行任何命令(需要输入密码)


四、禁止直接使用root用户通过SSH登录

/etc/pam.d/password-auth-ac或者/etc/pam.d/sshd配置文件中添加以下配置(该配置禁止SSH的口令认证,但仍然可以使用SSH密钥登录)

auth        required      pam_securetty.so

此外还可以配置/etc/securetty 文件禁止root用户通过所有tty终端登录系统

1
2
# cp /etc/securetty /etc/securetty.saved
# echo "" >/etc/securetty


五、pwgen复杂密码随机生成工具


pwgen是一个在Linux随机生成密码的工具,在CnetOS6下安装:

1
2
# rpm -ivh https://mirrors.aliyun.com/epel/epel-release-latest-6.noarch.rpm
# yum install pwgen

使用pwgen命令随机生成字符长度为12的密码

# pwgen -s 12 -c -n -y

-n  至少包含一个数字

-c  至少包含一个大写字母

-y  至少包含一个特殊字符

-s  完全随机生成密码

wKiom1kS6GzzW69AAACVMDklzZA841.png


本文转自 HMLinux 51CTO博客,原文链接:http://blog.51cto.com/7424593/1924260

相关文章
|
24天前
|
安全 Linux 数据安全/隐私保护
Vanilla OS:下一代安全 Linux 发行版
【10月更文挑战第30天】
44 0
Vanilla OS:下一代安全 Linux 发行版
|
17天前
|
缓存 资源调度 安全
深入探索Linux操作系统的心脏——内核配置与优化####
本文作为一篇技术性深度解析文章,旨在引领读者踏上一场揭秘Linux内核配置与优化的奇妙之旅。不同于传统的摘要概述,本文将以实战为导向,直接跳入核心内容,探讨如何通过精细调整内核参数来提升系统性能、增强安全性及实现资源高效利用。从基础概念到高级技巧,逐步揭示那些隐藏在命令行背后的强大功能,为系统管理员和高级用户打开一扇通往极致性能与定制化体验的大门。 --- ###
47 9
|
11天前
|
运维 监控 Linux
服务器管理面板大盘点: 8款开源面板助你轻松管理Linux服务器
在数字化时代,服务器作为数据存储和计算的核心设备,其管理效率与安全性直接关系到业务的稳定性和可持续发展。随着技术的不断进步,开源社区涌现出众多服务器管理面板,这些工具以其强大的功能、灵活的配置和友好的用户界面,极大地简化了Linux服务器的管理工作。本文将详细介绍8款开源的服务器管理面板,包括Websoft9、宝塔、cPanel、1Panel等,旨在帮助运维人员更好地选择和使用这些工具,提升服务器管理效率。
|
19天前
|
安全 算法 Linux
Linux 服务器还有漏洞?建议使用 OpenVAS 日常检查!
在数字化时代,Linux 服务器的安全至关重要。OpenVAS 是一款优秀的开源漏洞扫描工具,可以帮助及时发现并修复服务器中的安全隐患。本文将介绍 OpenVAS 的主要功能、使用方法及应对漏洞的措施,帮助用户加强服务器安全管理,确保企业数字化安全。
44 7
|
19天前
|
存储 安全 数据管理
如何在 Rocky Linux 8 上安装和配置 Elasticsearch
本文详细介绍了在 Rocky Linux 8 上安装和配置 Elasticsearch 的步骤,包括添加仓库、安装 Elasticsearch、配置文件修改、设置内存和文件描述符、启动和验证 Elasticsearch,以及常见问题的解决方法。通过这些步骤,你可以快速搭建起这个强大的分布式搜索和分析引擎。
34 5
|
22天前
|
监控 Ubuntu Linux
使用VSCode通过SSH远程登录阿里云Linux服务器异常崩溃
通过 VSCode 的 Remote - SSH 插件远程连接阿里云 Ubuntu 22 服务器时,会因高 CPU 使用率导致连接断开。经排查发现,VSCode 连接根目录 ".." 时会频繁调用"rg"(ripgrep)进行文件搜索,导致 CPU 负载过高。解决方法是将连接目录改为"root"(或其他具体的路径),避免不必要的文件检索,从而恢复正常连接。
|
25天前
|
缓存 Unix Linux
服务器linux!!!
本文介绍了计算机的演变历史、硬件基础知识及服务器相关知识。从电子管时代的ENIAC到冯-诺伊曼架构,再到现代计算机系统组成,详细讲解了计算机的发展历程。此外,文章还介绍了服务器的分类、品牌、硬件组成以及IDC机房的上架流程,为读者提供了全面的技术背景知识。
38 0
服务器linux!!!
|
存储 XML 安全
Linux防火墙firewalld安全设置(下)
Linux防火墙firewalld安全设置
Linux防火墙firewalld安全设置(下)
|
XML 存储 安全
Linux防火墙firewalld安全设置(上)
Linux防火墙firewalld安全设置
Linux防火墙firewalld安全设置(上)
|
安全 Java Linux
Linux 服务器必备的安全设置,建议收藏!
Linux 服务器必备的安全设置,建议收藏!
141 0