RHCE技術(shù)培訓(xùn)-用戶賬戶管理介紹

1、RedHat RHCE 操作系統(tǒng)技術(shù)培訓(xùn)資料用戶賬戶管理介紹單元 9 賬戶管理目標(biāo)用戶賬戶賬戶信息（名稱服務(wù)）名稱服務(wù)切換（NSS）getent驗證可插入驗證模塊（PAM）PAM 操作/etc/pam.d /文件 ：測試/etc/pam.d/ 文件 ：控制值示例 ：/etc/pam.d/login 文件system_auth 文件pam_unix.so網(wǎng)絡(luò)驗證auth 模塊密碼安全性密碼策略session 模塊工具和驗證PAM 故障排除結(jié)束 單元 9目標(biāo)學(xué)習(xí)了本單元后，你應(yīng)該能夠 ： 理解驗證的基本知識 理解 NSS 和 PAM 的功能用戶賬戶 每個用戶賬戶必須提供兩類信息 賬戶信息 ：UID

2、 號碼、默認(rèn)的 shell，主目錄，組群成員信息等等 驗證是一種用來確定登錄賬戶所用的密碼是否正確的方法賬戶信息（名稱服務(wù)） 通過庫功能使用的名稱服務(wù)將名稱與信息進(jìn)行匹配 最初，僅由類似 /etc/passwd 的本地文件提供名稱服務(wù) 添加對新名稱服務(wù)（如 NIS）的支持需要重新編寫 libc名稱服務(wù)切換（NSS） NSS 允許不必重新編寫 libc 就能夠添加新名稱服務(wù) 使用 /lib/libnss_service.so 文件 /etc/nsswitch.conf 控制要使用的名稱服務(wù)及其順序 passwd ：files nis ldapgetent getent database 列出所有

3、保存在指定數(shù)據(jù)庫中的對象 getent services getent database name 在指定數(shù)據(jù)庫中的保存信息中查找某個特定的名稱 getent passwd smith驗證 應(yīng)用程序傳統(tǒng)上使用 libc 功能來驗證密碼 在登錄時提供的散列密碼 和 NSS 中的散列密碼進(jìn)行比較 如果匹配，則通過驗證 應(yīng)用程序必須被重新編寫來改變它們驗證用戶的方法可插入驗證模塊（PAM） 可插入驗證模塊 應(yīng)用程序調(diào)用 libpam 功能來驗證和授權(quán)用戶 libpam 根據(jù)應(yīng)用程序的 PAM 配置文件來進(jìn)行驗證 可能通過 libc 來包括 NSS 檢查 共享的，可動態(tài)配置的代碼 文檔 ：/usr/s

4、hare/doc/pam-/PAM 操作 /lib/security PAM 操作 每個模塊都執(zhí)行“通過”或“失敗”測試 /etc/security 中的文件可能會影響某些模塊執(zhí)行測試的方法 /etc/pam.d PAM配置 服務(wù)文件決定模塊在什么時候如何被特定程序使用/etc/pam.d 文件 ：測試 測試被分為四類 ： auth 驗證某用戶的確是這個用戶 account 批準(zhǔn)某賬戶的使用 password 控制密碼的修改 session 打開、關(guān)閉、并記錄會話 每一類都會在需要時被調(diào)用，并為服務(wù)提供獨立的結(jié)果/etc/pam.d 文件 ：控制值 控制值決定每個測試將會如何影響群的總體結(jié)果

5、required ：必須通過，若失敗則繼續(xù)測試 requisite 和 required 相似，不同之處是它在失敗后停止測試 sufficient ：如果到此為止一直通過，現(xiàn)在就返回成功 ：如果失敗，忽略測試?yán)^續(xù)檢查 optional ：測試通過與否都無關(guān)緊要 include ：返回在被調(diào)用文件中配置的測試的總體控制值示例 ：/etc/pam.d /login 文件 auth required pam_securetty.so auth include system_auth account required pam_nologin.so account include system_auth

6、 password include system_auth session required pam_selinux.so close session optional pam_keyinit.so force revoke session include system_auth session required pam_loginuid.so session optional pam_console.so session required pam_selinux.so open system_auth 文件 system-auth 被廣泛使用 被 include 控制標(biāo)記，而不是模塊（如 p

7、am_stack.so）調(diào)用 包含標(biāo)準(zhǔn)驗證測試 被系統(tǒng)中許多程序共享 能夠?qū)?biāo)準(zhǔn)系統(tǒng)驗證進(jìn)行簡單、統(tǒng)一的管理 pam_unix.so 用于基于 NSS 驗證的模塊 auth 從 NSS 中獲取散列密碼，然后與輸入的密碼散列進(jìn)行比較 account 檢查密碼是否過期 password 處理本地文件或 NIS 中的密碼修改 session 將登錄和注銷時間記錄到日志中網(wǎng)絡(luò)驗證 集中密碼管理 pam_krb5.so （Kerberos V ticket） pam_ldap.so （LDAP 綁定） pam_smb_auth.so （較老的 SMB 驗證） pam_winbind.so （通過 win

8、bindd 的 SMB） 某些使用 NSS /pam_unix.so 的服務(wù) NIS、Hesiod 、一些 LDAP 配置 auth 模塊 如果從沒有在 /etc/security 中列出的終端上以 root 身份登錄，pam_securetty.so 測試就會失敗 如果用戶不是 root，并且存在文件 /etc/nologin，pam_nologin.so 測試就會失敗 pam_listfile.so 根據(jù)文件中的列表來檢查驗證特征 可以被允許或拒絕的賬戶列表密碼安全性 pam_unix.so MD5 密碼散列 是密碼散列更難破譯 pam_unix.so shadow 密碼 是密碼散列只能被

9、 root 查看 啟用密碼時效功能 其它模塊可能會支持密碼時效機(jī)制密碼策略 密碼歷史 帶有 remember=N 參數(shù)的 pam_unix.so 密碼強(qiáng)度 pam_cracklib.so pam_passwdqc.so 對失敗登錄的監(jiān)控 pam_tally.so session 模塊 pam_limits.so 強(qiáng)制資源限制 使用 /etc/security/limits.conf pam_console.so 為控制臺用戶設(shè)定對本地設(shè)備的使用權(quán)限 還可以作為 auth 模塊使用 pam_selinux.so 幫助設(shè)置 SELinux 環(huán)境 pam_mkhomedir.so 在主目錄不存在的情況下創(chuàng)建主目錄工具和驗證 需要驗證的本地管理工具 su、reboot、system-config-* 等等 若以 root 身份運行，pam_rootok.so 就會通過 pam_timestamp.so 用于類似 sudo 的行為 pam_xauth.so 轉(zhuǎn)發(fā) xauth cookiePAM 故障排除 檢查系統(tǒng)日志 /var/log/messages /var/log/s