发信人: coobear(有一天我飞)
整理人: skybird(2002-02-16 00:04:42), 站内信件
|
5.Linux-PAM的安全问题
5.1.如果出现错误
如果发生错误,Linux-PAM可能会改变系统的安全性。这取决于你自己的选择,你可以选择不安全(开放系统)和绝对安全(拒绝任何访问)。通常,Linux-PAM在发生错误时,倾向于后者。任何的配置错误都可能导致系统整个或者部分无法访问。
能够遇到最大的问题可能就是Linux-PAM的配置文件(/etc/pam.d/*或者/etc/pam.conf)被删除了。如果发生这种事情,你的系统就会被锁住。
不过,还是有办法进行恢复的。最好的方法就是重新启动系统进入单用户模式,然后进行正确地设置。下面是David Wood在邮件中提出的解决步骤:
1).首先,以单用户模式启动系统,出现LILO boot:时输入:
LILO boot:linux single <---此处假设使用的内核标签是linux,可以按TAB键列出可用的内核
这样你不用登录就可以进入系统了。
如果这个办法不行,你还可以使用急救盘启动系统。
2).假设你的PAM系统只是配置文件被破坏,先按照如下步骤进行处理:
cd /etc
mv pam.conf pam.conf.orig
mv pam.d pam.d.orig
mkdir pam.d
cd pam.d
接着,使用编辑程序编辑/etc/pam.d/other文件,它应该包括以下四行:
auth required pam_unix_auth.so
account required pam_unix_acct.so
password required pam_unix_passwd.so
session required pam_unix_session.so
然后,你就可以登录了。如果还是不行,那有可能是因为输入错误或者更严重的问题。如果是输入错误,会在日志文件中留下记录,可以使用tail /var/log/messages查看。
3).现在,你已经重新登录到系统了。下面的工作就是重新安装Linux-PAM和其它软件(假设是RedHat系统),使用如下命令重新安装PAM软件包:
rpm -Uvh --force pam-*
然后,需要安装(重新安装)libc库、util-linux、wuftp、NetKit等受影响的软件包。如果使用X系统,也需要重新安装。。
5.2.不要使用脆弱的other文件
如果系统默认配置文件other的配置比较脆弱,系统很可能受到攻击的威胁。
这是一个示例配置,pam_deny模块将拒绝所有的访问,而pam_warn模块将向auth.notice日志设备发送一条警告信息:
# The PAM configuration file for the `other' service
#
auth required pam_deny.so
auth required pam_warn.so
account required pam_deny.so
account required pam_warn.so
password required pam_deny.so
password required pam_warn.so
session required pam_deny.so
session required pam_warn.so
6.1.access模块
需要一个配置文件。默认情况下,使用/etc/security/access.conf作为配置文件,也可以指定别的文件。
网络支持
通过PAM_TTY变量获得终端名,如果这个变量没有设置,就通过ttyname()函数获得标准输入文件描述符的终端名。还可以使用gethostname(),yp_get_default_domain(), gethostbyname()函数获得主机名、域名等信息,作为每个配置行的第三项。
提供一种日志监控风格的登录访问控制机制
account组件
能够识别的参数
accessfile=/path/to/file.conf
这个模块提供一种日志监控风格的登录访问控制机制,这种机制是基于登录名、主机名、域名、internet地址、网络地址或者终端名的。A. Nogin把logdaemon-5.6(作者:Wietse Venema's)中的login_access.c文件做了许多改动,用到了这个模块中。
这个模块的行为可以使用如下参数进行修正:
accessfile=/path/to/file.conf 使用别的配置文件代替默认的配置文件/etc/security/access.conf。
例如:在一个NIS服务器或者一个邮件服务器上,有很多用户,但是你不想让这些用户具有登录(login)能力。这时,建议你使用这个模块。
如果你的模块放在/lib/security目录,而且使用/etc/pam.d/风格的配置,可以在/etc/pam.d/login、/etc/pam.d/rlogin、/etc/pam.d/rsh和/etc/pam.d/ftp文件中加入下面一行,来启动这个模块:
account required /lib/security/pam_access.so
注意:除非你的系统可以忽略.rhosts文件的作用,否则这个模块无法发挥作用。其中细节请参考对pam_rhost_auth模块的介绍。
此外,在软件的发布中有一个示例access.conf配置文件。
6.2.chroot模块
这个模块为普通用户提供一个假的文件系统,例如:在他们看来的/目录实际上是/some/where/else。
如果系统中有几类用户,而你对安全问题又十分重视,就可以使用这个模块。它可以对用户能够看到的系统信息和能够运行的程序进行限制。
可以使用PAM的通用参数和日志级别作为其参数。
提供合理的程序,例如只提供cat、ls、rm、cp和ed等。
不要滥用这个模块,例如:你可以为每个用户安装一个隔离的环境,但是这样非常浪费磁盘空间。
6.3.密码强度检查模块
需要libcrack库和字典/usr/lib/cracklib.dict。
这个模块可以插入到实现password管理组功能的层叠模块中,为给定的程序提供密码强度检查。
这个模块以如下方式工作:首先调用cracklib例程检查密码强度,如果密码不易破译,就进行下面的强度检查:
新密码是否旧密码的回文。
新密码是否只是就密码改变了大小写
和旧密码是否相似。主要由difok参数控制,如果新旧密码之间不同的字符数目大于或等于这个参数就接受新的密码,这个参数的默认值是10或者新密码的1/2。为了避免对一个很长、很复杂的密码进行查询,还可以使用difignore参数。这个参数可以指定一个值,如果新的密码长度超过这个值,就不必进行这种检查,默认值是23。
是否新密码太短。由5个参数控制:minlen、dcredit、ucredit、lcredit和ocredit。在此就不一一介绍了。
新密码是否是旧密码的回环
这个密码以前是否用过。过去用过的密码可以在/etc/security/opasswd文件中找到。
对于标准的UNIX密码加密算法,即使没有参数,这个模块也会工作得很好。但是,对于MD5加密算法,密码可以超过8个字符,使用默认的设置将使用户很难找到满意的密码。MD5算法的默认设置要求新密码中和旧密码相同的字符不能超过1/2,而且是强制的。例如:旧的密码是"the quick brown fox jumped over the lazy dog",那这个密码是很难被替换的:)。除此之外,MD5算法的默认设置还允许密码长度小于5个字符。因此,对于MD5系统需要对配置做一些调整,提高字符数的底限,减小对不同字符的比例限制。
password组件
能够识别的参数
debug、type=XXX、retry=N、difok=N、minlen=N、dcredit=N、ucredit=N、lcredit=N、ocredit=N、use_authtok
这个模块提示用户输入一个密码,然后根据一个系统字典和一组规则检查它的强度。
默认情况下,它首先提示用户输入一个密码,如果认为强度足够,就提示用户重新输入一遍,以保证密码输入正确。完成这些动作后,就把这个密码产地给subsequent模块,由subsequent模块安装新的验证记号(也就是密码)。
这个模块的动作可以通过一些参数改变:
debug
把模块详细的行为信息写到syslog,但不包括密码信息。
type=xxx
修改提示信息。默认的提示信息是:"New UNIX password:"和"Retype UNIX password"。设置这个选项可以使xxx代替UNIX。
retry=N
改变输入密码的次数,默认值是1。就是说,如果用户输入的密码强度不够就退出。可以使用这个选项设置输入的次数,以免一切都从头再来。
difok=N
默认值为10。这个参数设置允许的新、旧密码相同字符的个数。不过,如果新密码中1/2的字符和旧密码不同,则新密码被接受。
minlen=N
密码字符个数下限加一。除了限制新密码字符的个数之外,还有一些参数可以限制每种字符(other、upper、lower和digit)的个数。minlen的默认值是9,这个值对于旧风格的UNIX密码是非常合适的,但是对于MD5系统却并不是很安全。
ucredit=N
限制新密码中最多有多少个大写字符。
lcredit=N
限制新密码中最多有多少个小写字符。
ocredit=N
限制新密码中最多有多少个其它的字符。
use_authok
不让模块执行提示用户输入密码的动作,使用前面层叠的password模块提供的密码。
示例和建议
下面我们举一个例子,看一下这个模块是如何与pam_pwdb的password组件实现层叠的:
# These lines stack two password type modules. In this example the
# user is given 3 opportunities to enter a strong password. The
# "use_authtok" argument ensures that the pam_pwdb module does not
# prompt for a password, but instead uses the one provided by
# pam_cracklib.
#
passwd password required pam_cracklib.so retry=3
passwd password required pam_pwdb.so use_authtok
下面是一个使用MD5加密算法的例子:
#
# These lines allow a md5 systems to support passwords of at least 14
# bytes with extra credit of 2 for digits and 2 for others the new
# password must have at least three bytes that are not present in the
# old password
#
password required pam_cracklib.so
difok=3 minlen=15 dcredit= 2 ocredit=2
password required pam_pwdb.so use_authtok nullok md5
---- 喔,你是智慧之石,你是投石器之石
你是击碎星辰之人
你将自己高高地投出
|
|