Linux安全策略与实例.docVIP

Linux安全策略与实例 4.6 使用嵌入式认证模块—PAM 4.6 使用嵌入式认证模块—PAM 4.6.1 PAM 为安全起见，计算机系统只有经过授权的合法用户才能访问，在这里如何正确鉴别用户的真实身份是一个关键的问题。所谓用户鉴别，就是用户向系统以一种安全的方式提交自己的身份证明，然后由系统确认用户的身份是否属实的过程。换句话说，用户鉴别是系统的门户，每个用户进入系统都必须经过鉴别这一道关。 最初，Linux系统的用户鉴别过程就像各种UNIX系统一样，系统管理员为用户建立一个账号并为其指定一个口令，用户用此指定的口令登录后重新设置自己的口令，这样用户就具有了一个只有他自己知道的秘密口令。一般情况下，用户的口令经过加密处理后存放于/etc/passwd文件中。用户登录时，登录服务程序提示用户输入其用户名和口令，然后将口令加密并与/etc/passwd文件中对应账号的加密口令进行比较，如果口令匹配，说明用户的身份属实并允许此用户访问系统。这种思想基于只有用户自己知道他的口令，所以输入的口令正确的话，那么系统就认定他是所声称的那个人。 后来，还采用了许多其他的鉴别用户的方法，如用于网络环境的Kerberos以及基于智能卡的鉴别系统等。但是这些鉴别方案有一个通病：实现鉴别功能的代码通常作为应用程序的一部分而一起编译。因此，如果发现所用算法存在某些缺陷或想采用另一种鉴别方法时，用户不得不重写（修改或替换）然后重新编译源程序。很明显，这种鉴别方案缺乏灵活性。 鉴于以上原因，人们开始寻找更好的替代方案：一方面，将鉴别功能从应用中独立出来，单独进行模块化设计、实现和维护；另一方面，为这些鉴别模块建立标准API，以便各应用程序能方便地使用它们提供的各种功能；同时，鉴别机制对其上层用户（包括应用程序和最终用户）是透明的。1995年，Sun的研究人员提出了一种满足以上需求的方案—嵌入式认证模块（Pluggable Authentication Modules，PAM）机制并首次在其操作系统Solaris 2.3上部分实现。嵌入式认证模块机制采用模块化设计和插件功能，使得用户可以轻易地在应用程序中插入新的鉴别模块或替换原先的组件，而不必对应用程序做任何修改，从而使软件的定制、维护和升级更加轻松，因为鉴别机制与应用程序之间相对独立。应用程序可以通过PAM API方便地使用PAM提供的各种鉴别功能，而不必了解太多的底层细节。此外，PAM的易用性也较强，主要表现在它对上层屏蔽了鉴别的具体细节，所以用户不必被迫学习各种各样的鉴别方式，也不必记住多个口令；又由于它实现了多鉴别机制的集成问题，所以单个程序可以轻易集成多种鉴别机制，如Kerberos鉴别机制和Diffie-Hellman鉴别机制等，但用户仍可以用同一个口令登录而感觉不到采取了多种鉴别方法。 在广大开发人员的努力下，各版本的Linux陆续提供对PAM的支持。其中，Linux-PAM（Pluggable Authentication Modules for Linux）是专门为Linux操作系统实现的，包括Debian Linux 2.2、Turbo Linux 3.6、Red Hat Linux 5.0以及SuSE Linux 6.2及它们的后续版本都提供对PAM的支持。FreeBSD从3.1版开始支持PAM。需要注意的是：除了具体实现不同外，各种版本Linux系统上的PAM的框架是相同的，所以本章介绍的Linux-PAM框架知识具有普遍性。  4.6.2 Linux-PAM的分层体系结构 PAM为了实现其插件功能和易用性，采取了分层设计思想：让各鉴别模块从应用程序中独立出来，然后通过PAM API作为两者联系的纽带，这样应用程序就可以根据需要灵活地在其中“插入”所需鉴别功能模块，从而真正实现了“鉴别功能，随需应变”。实际上，这一思路非常符合软件设计中的“高内聚，低耦合”这一重要思想。PAM的体系如图4-2所示。 图4-2 PAM体系结构 从图4-2可以看出，PAM API起着承上启下的作用，它是应用程序和鉴别模块之间联系的纽带：当应用程序调用PAM API时，应用接口层按照配置文件pam.conf的规定，加载相应的鉴别模块。然后把请求（即从应用程序那里得到的参数）传递给底层的鉴别模块，这时鉴别模块就可以根据要求执行具体的鉴别操作了。当鉴别模块执行完相应操作后，将结果返回给应用接口层，然后由接口层根据配置的具体情况将来自鉴别模块的应答返回给应用程序。 4.6.3 Linux-PAM的应用 Linux-PAM的目标就是为系统管理者提供最大限度的灵活性。系统管理者可以通过两种形式对Linux-PAM进行配置：单一配置文件/etc/pam.conf；或者是/etc/