免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 操作系统 Linux系统管理 请教pam.d里的模块设置问题
最近访问板块 发新帖
查看: 3523 | 回复: 4
打印 上一主题 下一主题

[系统安全] 请教pam.d里的模块设置问题 [复制链接]

Samdy_Chan

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2012-05-29 16:09 |只看该作者 |倒序浏览
大家好:
    请问 /etc/pam.d 目录下的一些模块设置文件经常有如下一些设置:
auth requisite pam_unix2.so
auth required pam_unix2.so nullok
----
请问以上这两行设置有什么不同点? nullok就代表什么意思? requisite 和 required 又有什么区别呢?谢谢!
ulovko

论坛徽章:
13
15-16赛季CBA联赛之同曦 日期:2016-01-28 19:52:032015亚冠之北京国安 日期:2015-10-07 14:28:19NBA常规赛纪念章 日期:2015-05-04 22:32:03处女座 日期:2015-01-15 19:45:44卯兔 日期:2014-10-28 16:17:14白羊座 日期:2014-05-24 15:10:46寅虎 日期:2014-05-10 09:50:35白羊座 日期:2014-03-12 20:52:17午马 日期:2014-03-01 08:37:27射手座 日期:2014-02-19 19:26:54子鼠 日期:2013-11-30 09:03:56狮子座 日期:2013-09-08 08:37:52
2 [报告]
发表于 2012-05-29 16:16 |只看该作者
回复 1# Samdy_Chan


http://linux.vbird.org/linux_basic/0410accountmanager.php#usershell
第二個欄位:驗證的控制旗標 (control flag)
那麼『驗證的控制旗標(control flag)』又是什麼?簡單的說,他就是『驗證通過的標準』啦! 這個欄位在管控該驗證的放行方式,主要也分為四種控制方式:

required
此驗證若成功則帶有 success (成功) 的標誌,若失敗則帶有 failure 的標誌,但不論成功或失敗都會繼續後續的驗證流程。 由於後續的驗證流程可以繼續進行,因此相當有利於資料的登錄 (log) ,這也是 PAM 最常使用 required 的原因。

requisite
若驗證失敗則立刻回報原程式 failure 的標誌,並終止後續的驗證流程。若驗證成功則帶有 success 的標誌並繼續後續的驗證流程。 這個項目與 required 最大的差異,就在於失敗的時候還要不要繼續驗證下去?由於 requisite 是失敗就終止, 因此失敗時所產生的 PAM 資訊就無法透過後續的模組來記錄了。

sufficient
若驗證成功則立刻回傳 success 給原程式,並終止後續的驗證流程;若驗證失敗則帶有 failure 標誌並繼續後續的驗證流程。 這玩意兒與 requisits 剛好相反!

optional
這個模組控制項目大多是在顯示訊息而已,並不是用在驗證方面的。
如果將這些控制旗標以圖示的方式配合成功與否的條件繪圖,會有點像底下這樣:


http://en.wikipedia.org/wiki/Pluggable_Authentication_Modules

http://www.kernel.org/pub/linux/libs/pam/
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
Samdy_Chan

论坛徽章:
0
3 [报告]
发表于 2012-05-29 17:37 |只看该作者
鸟哥里面也没说到nullok代表什么意思哦?
还望大侠解答,谢谢!
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
ulovko

论坛徽章:
13
15-16赛季CBA联赛之同曦 日期:2016-01-28 19:52:032015亚冠之北京国安 日期:2015-10-07 14:28:19NBA常规赛纪念章 日期:2015-05-04 22:32:03处女座 日期:2015-01-15 19:45:44卯兔 日期:2014-10-28 16:17:14白羊座 日期:2014-05-24 15:10:46寅虎 日期:2014-05-10 09:50:35白羊座 日期:2014-03-12 20:52:17午马 日期:2014-03-01 08:37:27射手座 日期:2014-02-19 19:26:54子鼠 日期:2013-11-30 09:03:56狮子座 日期:2013-09-08 08:37:52
4 [报告]
发表于 2012-05-29 17:49 |只看该作者
回复 3# Samdy_Chan

http://www.faqs.org/docs/Linux-HOWTO/User-Authentication-HOWTO.html
    Disabling logins for user with null passwords

On most linux systems, there a number of "dummy" user accounts, used to assign privileges to certain system services like ftp, webservers, and mail gateways. Having these accounts allows your system to be more secure, because if these services are compromised, an attacker will only gain the limited privileges available to the dummy account, rather than the full privileges of a service running as root. However, allowing these dummy account login privileges is a security risk, as they usually have blank (null) passwords. The configuration option that enables null passwords is the "nullok" module-argument. You'll want remove this argument from any modules of 'auth' type for services that allow login. This is usually the login service, may also include services like rlogin and ssh. Hence, the following line in /etc/pam.d/login:

   auth                required        pam_unix.so        nullok
   
should be changed to:

   auth                required        pam_unix.so
   
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
spring0508

论坛徽章:
0
5 [报告]
发表于 2012-05-30 14:01 |只看该作者
参数nullok 用来使此默认失效
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP