用u盘登陆系统(公钥密钥体系)

archangle

首先你的对pam有所了解,然后是对linux登陆流程有所了解.
linux登陆流程简单说来可以这样理解.

假如你按下alt+F2, 那么gettty就得到这个信息.(getty的起动是由/etc/inittab控制的).getty随后调用login进程,login进程要求输入用户名和密码.并且把密码和用户名提交给pam系统验证(pam对login程序的验证步骤或者说方法可以由/etc/pam.d/login来设置).
pam系统把验证结果返回给login进程.然后login进程就会起动该用户的shell.比如bash.

关键就是在pam这一步,要怎么验证这都是你自己可以控制的,我的作法是用一个pamusb模块来替换口令模块.当然也可以配合使用.

pamusb的验证机制是用公钥密钥体系来完成的,简单说来就是在机器上放入公钥,u盘里放入密钥,密钥可以被加密.


现在登陆的流程是,假如你没有给密钥设置密码,那么登陆的时候,插入u盘,然后输入用户名就可以直接登陆了.如果密钥有密码的话,就要输入密码.

就这么简单.
有兴趣的朋友可以参考www.pamusb.org上的资料自己去搞.我不太习惯写傻瓜式的教程.

archangle

这个是我的机器上密码验证的流程,我用pam_usb.so的debug参数得到的.

1. 
   
2. [device.c:100] Directory /proc/scsi/usb-storage-0/ found
   
3. [device.c:107] File /proc/scsi/usb-storage-0/1 found
   
4. [auth.c:143] Using procfile /proc/scsi/usb-storage-0/1
   
5. [auth.c:165] Found valid device /proc/scsi/usb-storage-0/1
   
6. [device.c:371] Forcing device /dev/sdb
   
7. [device.c:346] Creating temporary mount point...
   
8. [device.c:354] Scheduling [/tmp/pam_usbVL61m2] for dropping
   
9. [device.c:358] Using /tmp/pam_usbVL61m2 as mount point
   
10. [device.c:237] Trying to mount /dev/sdb on /tmp/pam_usbVL61m2 using ext2
    
11. [device.c:253] Device mounted, trying to open private key
    
12. [device.c:181] Opening /tmp/pam_usbVL61m2/.auth/root.com2
    
13. [device.c:261] Private key opened
    
14. [dsa.c:30] Private key is encrypted
    
15. Passphrase to unlock the key:
    
16. [auth.c:207] Private key imported
    
17. [auth.c:218] Public key imported
    
18. [device.c:455] Dropping [/tmp/pam_usbVL61m2]
    
19. [dsa.c:77] Checking DSA key pair...
    
20. [dsa.c:87] Signing pseudo random data [1 time(s)]...
    
21. [dsa.c:94] Valid signature
    
22. [dsa.c:87] Signing pseudo random data [2 time(s)]...
    
23. [dsa.c:94] Valid signature
    
24. [dsa.c:87] Signing pseudo random data [3 time(s)]...
    
25. [dsa.c:94] Valid signature
    
26. [pam.c:207] Access granted
    

复制代码

hongfengyue

这个不错，可以研究研究。

joint

漂亮