nsswitch简介
nsswitch全称为: network service switch,其是一个通用框架,与各种类型存储交互的公共实现,实现名称解析服务. 例如: 用户名到ID,或者ID到用户名,再或者IP到域名的查找方式. nsswitch加载了各存储的api接口,并以模块方式装载进nsswitch中,当程序发起nsswitch的api调用时,ns会自动完成到各存储中查找内容.
nsswitch的各种与存储连接的模块
- /usr/lib64/libnss*
- /lib64/libnss*
libnss_files-2.17.so库文件就是实现查找文件时, 其应该调用的库文件
nsswitch的配置文件
- /etc/nsswitch.conf
- 定义格式为:
passwd: files sss
解析库的类型:
- 文件
- 关系型数据库管理系统
- NIS
- LDAP
- DNS
查找结果的状态
- Success : 成功
- Notfound : 文件存在,但没有找到记录
- anavail : 服务不可用
- tryagain : 重试
- 每个状态结果的行为(action)
- return : 返回
- continue : 继续找下一个
- 每个状态结果的行为(action)
示例:
hosts: files nis[notfound=return] dns
只要nis服务存在,就会执行return,只有nis服务不可用的时候, 才会再找dns服务
getent命令
从nisswitch库中查找记录
- 使用格式:
getent database [key]
示例:
getent passwd root : 到/etc/passwd文件中查找root用户,并返回文件中的记录
getent passwd 0 : 到/etc/passwd文件中查找ID为0的用户,并返回文件中的记录
========
pam简介
pam,全称为:pluggable authentication module,其提供了完成认证功能,并提供认证库. 支持各种类型存储,如文件,关系型数据库管理系统,LDAP,NIS等. pam也是一个通用框架,提供了各种类型存储进行交互的公共实现,以及多种辅助类功能.pam以应用程序为中心, 并为应用程序提供认证服务.
pam的相关文件
-
/lib64/security/pam*.so: 与各种类型存储进行交互的库文件 -
/etc/pam.conf: 可为每一种调用pam完成认证功能的应用程序提供配置 -
/etc/pam.d/*: 通常专用于某特定的应用程序提供配置,通常每个应用会使用一个单独的配置文件, 也不使用pam.conf公共的配置文件 -
/etc/security/*.conf: 每个模块的配置文件 -
/etc/security/*.d/*.conf: 每个模块的多个配置文件存放位置
pam模块通用配置文件的格式
application type control module_path module_argument
pam模块专用配置文件的格式
type control module_path module_argument
-
type: 检查功能类别-
auth: 帐号的认证和授权 -
account: 与帐号管理相关的非认证类的功能(审计) -
password: 用户修改密码时密码复杂度检查机制 -
session: 用户获取到服务之前或使用服务完成之后,需要进行一些附加操作
-
-
Control:同一种功能的多个检查之间如何进行组合- 1
简单实现: 使用一个关键词来定义-
required: 必须要通过检查,否则即为失败,无论成功还是失败,都需要继续由后续的同种模块进行检查 -
requisite: 一票否决,检查失败就直接返回失败,检查成功,则由后续同种功能的其它模块进行检查 -
suffcient: 一票通过,检查成功就直接返回成功,检测失败,则由后续同种功能的其它模块进行检查 -
optional: 可选的,参考性控制机制 -
include: 调用其它配置文件中的同种功能检测机制
-
- 1
-
module_path: 模块文件路径- 相对路径: 相对于/lib64/security目录
- 绝对路径: 可位于任何可访问的路径
-
module_arguments: 模块的专用参数
模块配置示例一:
pam_limits.so(资源限制)
在用户级别实现对其使用的资源的限制,例如:可打开的文件数量,可运行的进程数量,可用内存空间,修改限制的实现方法:
-
修改配置文件:/etc/security/limits.conf , /etc/security/limits.d/*.conf-
/etc/security/limits.conf的定义格式
<domain> <type> <item> <value>-
<domain>: 应用于那个对象- username
- @group
- * :所有用户
-
<type>: 限制类型- soft : 软限制, 普通用户可以修改
- hard : 硬限制,由root用户设定,且通过kernel强制生效
- - : 软件使用相同限制
-
<item>: 限制的资源类型- nofile : 所能够同时打开的最大文件数量,默认为1024
- nproc : 所能够同时运行的进程最大数量,默认为1024
-
-
ulimit 命令-
-u: 最大用户进程数 -
-n: 最大打开的文件描述符个数 -
-S: 使用软限制调整 -
-H: 使用硬限制调整
ulimit -SHn 200000 # 同时设置软硬限制 -
模块配置示例二:
pam_time.so(实现用户登陆时间限制)
-
vim /etc/pam.d/sshd
- 在auth动作下,添加:
account required pam_time.so
- 在auth动作下,添加:
-
vim /etc/security/time.conf
- 在文本结束添加:
sshd;*;s1;!Al0000-2400(对sshd服务限制s1用户在所有终端上登陆)
service;tty;user;time service : 服务名称 tty: 登陆tty类型 user: 用户名称 time : 时间 time的表示方法: Mo :星期一 Tu :星期二 We :星期三 Th :星期四 Fr :星期五 Sa :星期六 Su :星期天 Wk :周工作日 Wd :周休息日 Al :所有时间 ! : 非 & : 和 | : 或者 - 在文本结束添加:
模块配置示例三:
pam_listfile.so(实现组中的用户进行时间登陆限制)
-
vim /etc/pam.d/sshd
- 在auth动作下,添加
account required pam_listfile.so item=group sense=allow file=/tmp/allowgroup onerr=succeed
- 在auth动作下,添加
-
vim /tmp/allowgroup- 将允许的组添加到些文件中,以下只是允许s1,s2组的用户远程登陆
s1 s2 ```Account
PAM工作原理图
img
网友评论