Linux之nsswitch and pam

nsswitch简介

nsswitch全称为: network service switch,其是一个通用框架,与各种类型存储交互的公共实现,实现名称解析服务. 例如: 用户名到ID,或者ID到用户名,再或者IP到域名的查找方式. nsswitch加载了各存储的api接口,并以模块方式装载进nsswitch中,当程序发起nsswitch的api调用时,ns会自动完成到各存储中查找内容.

nsswitch的各种与存储连接的模块

• /usr/lib64/libnss*
• /lib64/libnss*

libnss_files-2.17.so库文件就是实现查找文件时, 其应该调用的库文件

nsswitch的配置文件

• /etc/nsswitch.conf
  • 定义格式为:

  passwd:     files  sss
  

解析库的类型:

• 文件
• 关系型数据库管理系统
• NIS
• LDAP
• DNS

查找结果的状态

• Success : 成功
• Notfound : 文件存在,但没有找到记录
• anavail : 服务不可用
• tryagain : 重试
  • 每个状态结果的行为(action)
    • return : 返回
    • continue : 继续找下一个

示例:
hosts:  files nis[notfound=return] dns

只要nis服务存在,就会执行return,只有nis服务不可用的时候, 才会再找dns服务

getent命令

从nisswitch库中查找记录

• 使用格式: getent database [key]

示例:
getent passwd root : 到/etc/passwd文件中查找root用户,并返回文件中的记录
getent passwd 0 : 到/etc/passwd文件中查找ID为0的用户,并返回文件中的记录

========

pam简介

pam,全称为:pluggable authentication module,其提供了完成认证功能,并提供认证库. 支持各种类型存储,如文件,关系型数据库管理系统,LDAP,NIS等. pam也是一个通用框架,提供了各种类型存储进行交互的公共实现,以及多种辅助类功能.pam以应用程序为中心, 并为应用程序提供认证服务.

pam的相关文件

• /lib64/security/pam*.so : 与各种类型存储进行交互的库文件
• /etc/pam.conf : 可为每一种调用pam完成认证功能的应用程序提供配置
• /etc/pam.d/* : 通常专用于某特定的应用程序提供配置,通常每个应用会使用一个单独的配置文件, 也不使用pam.conf公共的配置文件
• /etc/security/*.conf : 每个模块的配置文件
• /etc/security/*.d/*.conf : 每个模块的多个配置文件存放位置

pam模块通用配置文件的格式

application     type    control     module_path     module_argument

pam模块专用配置文件的格式

type    control     module_path     module_argument

• type : 检查功能类别

  • auth : 帐号的认证和授权
  • account : 与帐号管理相关的非认证类的功能(审计)
  • password : 用户修改密码时密码复杂度检查机制
  • session : 用户获取到服务之前或使用服务完成之后,需要进行一些附加操作

• Control :同一种功能的多个检查之间如何进行组合

  • 1 简单实现 : 使用一个关键词来定义
    • required : 必须要通过检查,否则即为失败,无论成功还是失败,都需要继续由后续的同种模块进行检查
    • requisite : 一票否决,检查失败就直接返回失败,检查成功,则由后续同种功能的其它模块进行检查
    • suffcient : 一票通过,检查成功就直接返回成功,检测失败,则由后续同种功能的其它模块进行检查
    • optional : 可选的,参考性控制机制
    • include : 调用其它配置文件中的同种功能检测机制

• module_path : 模块文件路径

  • 相对路径: 相对于/lib64/security目录
  • 绝对路径: 可位于任何可访问的路径

• module_arguments : 模块的专用参数

模块配置示例一:

pam_limits.so(资源限制)

在用户级别实现对其使用的资源的限制,例如:可打开的文件数量,可运行的进程数量,可用内存空间,修改限制的实现方法:

• 修改配置文件 : /etc/security/limits.conf , /etc/security/limits.d/*.conf

  • /etc/security/limits.conf的定义格式

  <domain>    <type>      <item>      <value>
  

  • <domain> : 应用于那个对象

    • username
    • @group
    • * :所有用户

  • <type> : 限制类型

    • soft : 软限制, 普通用户可以修改
    • hard : 硬限制,由root用户设定,且通过kernel强制生效
    • - : 软件使用相同限制

  • <item> : 限制的资源类型

    • nofile : 所能够同时打开的最大文件数量,默认为1024
    • nproc : 所能够同时运行的进程最大数量,默认为1024

• ulimit 命令

  • -u : 最大用户进程数
  • -n : 最大打开的文件描述符个数
  • -S : 使用软限制调整
  • -H : 使用硬限制调整

  ulimit -SHn 200000  # 同时设置软硬限制
  

模块配置示例二:

pam_time.so(实现用户登陆时间限制)

• vim /etc/pam.d/sshd

  • 在auth动作下,添加:account required pam_time.so

• vim /etc/security/time.conf

  • 在文本结束添加:sshd;*;s1;!Al0000-2400(对sshd服务限制s1用户在所有终端上登陆)

  service;tty;user;time
  
  service : 服务名称
  tty: 登陆tty类型
  user: 用户名称
  time : 时间
  
      time的表示方法:
          Mo :星期一
          Tu :星期二
          We :星期三
          Th :星期四
          Fr :星期五
          Sa :星期六
          Su :星期天
          Wk :周工作日
          Wd :周休息日
          Al :所有时间
      ! : 非
      & : 和
      | : 或者
      
  

模块配置示例三:

pam_listfile.so(实现组中的用户进行时间登陆限制)

• vim /etc/pam.d/sshd

  • 在auth动作下,添加account required pam_listfile.so item=group sense=allow file=/tmp/allowgroup onerr=succeed

• vim /tmp/allowgroup

  • 将允许的组添加到些文件中,以下只是允许s1,s2组的用户远程登陆

  s1
  s2
  ```Account
  
  
  

PAM工作原理图

img