RHCE技術(shù)培訓(xùn)-用戶賬戶管理介紹

1、RedHat RHCE 操作系統(tǒng)技術(shù)培訓(xùn)資料用戶賬戶管理介紹單元 9 賬戶管理目標(biāo)用戶賬戶賬戶信息（名稱服務(wù)）名稱服務(wù)切換（NSS）getent驗(yàn)證可插入驗(yàn)證模塊（PAM）PAM 操作/etc/pam.d /文件 ：測(cè)試/etc/pam.d/ 文件 ：控制值示例 ：/etc/pam.d/login 文件system_auth 文件pam_unix.so網(wǎng)絡(luò)驗(yàn)證auth 模塊密碼安全性密碼策略session 模塊工具和驗(yàn)證PAM 故障排除結(jié)束 單元 9目標(biāo)學(xué)習(xí)了本單元后，你應(yīng)該能夠 ： 理解驗(yàn)證的基本知識(shí) 理解 NSS 和 PAM 的功能用戶賬戶 每個(gè)用戶賬戶必須提供兩類信息 賬戶信息 ：UID

2、 號(hào)碼、默認(rèn)的 shell，主目錄，組群成員信息等等 驗(yàn)證是一種用來(lái)確定登錄賬戶所用的密碼是否正確的方法賬戶信息（名稱服務(wù)） 通過(guò)庫(kù)功能使用的名稱服務(wù)將名稱與信息進(jìn)行匹配 最初，僅由類似 /etc/passwd 的本地文件提供名稱服務(wù) 添加對(duì)新名稱服務(wù)（如 NIS）的支持需要重新編寫(xiě) libc名稱服務(wù)切換（NSS） NSS 允許不必重新編寫(xiě) libc 就能夠添加新名稱服務(wù) 使用 /lib/libnss_service.so 文件 /etc/nsswitch.conf 控制要使用的名稱服務(wù)及其順序 passwd ：files nis ldapgetent getent database 列出所有

3、保存在指定數(shù)據(jù)庫(kù)中的對(duì)象 getent services getent database name 在指定數(shù)據(jù)庫(kù)中的保存信息中查找某個(gè)特定的名稱 getent passwd smith驗(yàn)證 應(yīng)用程序傳統(tǒng)上使用 libc 功能來(lái)驗(yàn)證密碼 在登錄時(shí)提供的散列密碼 和 NSS 中的散列密碼進(jìn)行比較 如果匹配，則通過(guò)驗(yàn)證 應(yīng)用程序必須被重新編寫(xiě)來(lái)改變它們驗(yàn)證用戶的方法可插入驗(yàn)證模塊（PAM） 可插入驗(yàn)證模塊 應(yīng)用程序調(diào)用 libpam 功能來(lái)驗(yàn)證和授權(quán)用戶 libpam 根據(jù)應(yīng)用程序的 PAM 配置文件來(lái)進(jìn)行驗(yàn)證 可能通過(guò) libc 來(lái)包括 NSS 檢查 共享的，可動(dòng)態(tài)配置的代碼 文檔 ：/usr/s

4、hare/doc/pam-/PAM 操作 /lib/security PAM 操作 每個(gè)模塊都執(zhí)行“通過(guò)”或“失敗”測(cè)試 /etc/security 中的文件可能會(huì)影響某些模塊執(zhí)行測(cè)試的方法 /etc/pam.d PAM配置 服務(wù)文件決定模塊在什么時(shí)候如何被特定程序使用/etc/pam.d 文件 ：測(cè)試 測(cè)試被分為四類 ： auth 驗(yàn)證某用戶的確是這個(gè)用戶 account 批準(zhǔn)某賬戶的使用 password 控制密碼的修改 session 打開(kāi)、關(guān)閉、并記錄會(huì)話 每一類都會(huì)在需要時(shí)被調(diào)用，并為服務(wù)提供獨(dú)立的結(jié)果/etc/pam.d 文件 ：控制值 控制值決定每個(gè)測(cè)試將會(huì)如何影響群的總體結(jié)果

5、required ：必須通過(guò)，若失敗則繼續(xù)測(cè)試 requisite 和 required 相似，不同之處是它在失敗后停止測(cè)試 sufficient ：如果到此為止一直通過(guò)，現(xiàn)在就返回成功 ：如果失敗，忽略測(cè)試?yán)^續(xù)檢查 optional ：測(cè)試通過(guò)與否都無(wú)關(guān)緊要 include ：返回在被調(diào)用文件中配置的測(cè)試的總體控制值示例 ：/etc/pam.d /login 文件 auth required pam_securetty.so auth include system_auth account required pam_nologin.so account include system_auth

6、 password include system_auth session required pam_selinux.so close session optional pam_keyinit.so force revoke session include system_auth session required pam_loginuid.so session optional pam_console.so session required pam_selinux.so open system_auth 文件 system-auth 被廣泛使用 被 include 控制標(biāo)記，而不是模塊（如 p

7、am_stack.so）調(diào)用 包含標(biāo)準(zhǔn)驗(yàn)證測(cè)試 被系統(tǒng)中許多程序共享 能夠?qū)?biāo)準(zhǔn)系統(tǒng)驗(yàn)證進(jìn)行簡(jiǎn)單、統(tǒng)一的管理 pam_unix.so 用于基于 NSS 驗(yàn)證的模塊 auth 從 NSS 中獲取散列密碼，然后與輸入的密碼散列進(jìn)行比較 account 檢查密碼是否過(guò)期 password 處理本地文件或 NIS 中的密碼修改 session 將登錄和注銷時(shí)間記錄到日志中網(wǎng)絡(luò)驗(yàn)證 集中密碼管理 pam_krb5.so （Kerberos V ticket） pam_ldap.so （LDAP 綁定） pam_smb_auth.so （較老的 SMB 驗(yàn)證） pam_winbind.so （通過(guò) win

8、bindd 的 SMB） 某些使用 NSS /pam_unix.so 的服務(wù) NIS、Hesiod 、一些 LDAP 配置 auth 模塊 如果從沒(méi)有在 /etc/security 中列出的終端上以 root 身份登錄，pam_securetty.so 測(cè)試就會(huì)失敗 如果用戶不是 root，并且存在文件 /etc/nologin，pam_nologin.so 測(cè)試就會(huì)失敗 pam_listfile.so 根據(jù)文件中的列表來(lái)檢查驗(yàn)證特征 可以被允許或拒絕的賬戶列表密碼安全性 pam_unix.so MD5 密碼散列 是密碼散列更難破譯 pam_unix.so shadow 密碼 是密碼散列只能被

9、 root 查看 啟用密碼時(shí)效功能 其它模塊可能會(huì)支持密碼時(shí)效機(jī)制密碼策略 密碼歷史 帶有 remember=N 參數(shù)的 pam_unix.so 密碼強(qiáng)度 pam_cracklib.so pam_passwdqc.so 對(duì)失敗登錄的監(jiān)控 pam_tally.so session 模塊 pam_limits.so 強(qiáng)制資源限制 使用 /etc/security/limits.conf pam_console.so 為控制臺(tái)用戶設(shè)定對(duì)本地設(shè)備的使用權(quán)限 還可以作為 auth 模塊使用 pam_selinux.so 幫助設(shè)置 SELinux 環(huán)境 pam_mkhomedir.so 在主目錄不存在的情況下創(chuàng)建主目錄工具和驗(yàn)證 需要驗(yàn)證的本地管理工具 su、reboot、system-config-* 等等 若以 root 身份運(yùn)行，pam_rootok.so 就會(huì)通過(guò) pam_timestamp.so 用于類似 sudo 的行為 pam_xauth.so 轉(zhuǎn)發(fā) xauth cookiePAM 故障排除 檢查系統(tǒng)日志 /var/log/messages /var/log/s