linux认证和防护机制

第一章Tcp-Wrapper


一、Tcp_wrapper


1、独立守护进程(standalone)

类似独立经营的专卖店。

2、xinetd(非独立守护进程,超级进程)

类似大商场里面的专卖店。xinetd如果接受wrapper访问控制,那么里面的所有子进程都接受wrapper的控制。


3、tcp-wrapper的配置文件

/etc/hosts.allow

/etc/hosts.deny


注意:进程访问会先通过/etc/hosts.allow,如果有匹配规则就放行,然后检查hosts.deny进行检查如果有匹配就拒绝,如果没有就放行进入下一个默认规则,tcp_wrapper的默认规则就是放行。


4、语法格式

daemon_list:client_list[:options]

Daemon_list

使用服务程序的可执行文件名,通常在/usr/bin,/bin/等目录下。

多个daemon之间用逗号隔开。

ALL表示所有服务。

daemon@host表示当主机有多个ip地址时,可以对不同的ip地址访问采用不同的访问策略。


Client-list

直接指定具体ip地址的主机

使用network/mask的形式指定主机范围,格式必须是10.0.0.0/255.0.0.0的格式

使用主机名或FQDN名

all,表示所有

local,表示和本地主机在同一网段的主机

konwn,表示FQDN可以被解析的

unknown,表示主机名不能被解析的。

paranoid,正向和反向解析不匹配的

except,不包括,除。。。。之外。


实例:

Telnet服务不允许172.16.0.0/16访问,但允许172.16.100.200访问,其他客户端不受控制。

方法1:

/etc/hosts.allow

In.telnetd:172.16.100.200


/etc/hosts.deny

In.telnetd:172.16.

方法2:

/etc/hosts.deny

In.telnetd:172.16.EXCEPT 172.16.100.200

方法3:

/etc/hosts.allow

In.telnetd: ALL EXCEPT 172.16. EXCEPT 172.16.100.200

options:

spawn:启动一个日志追加功能。

deny:

allow:

sshd:192.168.1.89 EXCEPT 192.168.1.: spawn echo 'somebody enter `who`'>>/var/log/tecwrapper.log

~                        


tcp_wrapper宏:

%c:客户端信息(user@host)

%s:服务器端信息(server@host)

%h:客户端主机名

%p:服务器端PID


通过以下命令获取详细信息:

[root@ms.dtedu.com~]$man 5 hosts_access



二、Xinetd

1、配置文件/etc/xinetd.conf

全局配置文件,对片段配置文件都生效。

可以将xinetd的日志文件单独定义到一个独立文件中,使用FILE /var/log/xinetd.log的形式。

服务配置段,通过service开头并定义。

# Define general logging characteristics.

        log_type        = SYSLOG daemon info使用FILE/var/log/xinetd.log的形式定义日志到独立的文件中。info表示日志记录级别。

        log_on_failure  = HOST记录登录失败时记录的信息为主机信息。

        log_on_success  = PID HOST DURATION EXIT记录登录成功的信息包括PID,主机名,登录时长,退出时间。



通过man xinetd.conf查看配置文件使用方法。

2、片段/etc/xinetd.d/*

# default: off

# description: The rsync server is a good addition to an ftp server, as it \

#       allows crc checksumming etc.

service rsync要和文件名相同

{

        disable = yes是否启用,yes是禁用

        flags           = IPv6

        socket_type     = stream套接字类型,常用的是tcp/udp/rpc三种。stream表示tcp,dgram表示udp。

        wait            = no是否等待进程完成,适用于tcp套接字。

        user            = root

        server          = /usr/bin/rsync

        server_args     = --daemon

        log_on_failure  += USERID在原有赋值的基础上,增加新的值。

log_type= FILE /var/log/rsync.log

}

~                                                                               

~                                     


扩展知识:

访问控制:

only_from = :允许哪些地址访问

ip:10.10.10.10

network= 10.10.10.0/24,10.10.10.0/255.255.255.0

hostname:www.dtedu.com

domain:www.dtedu.com

no_access = 拒绝哪些地址访问

access_time = 设置访问时间范围,hh:mm-hh:mm

bind = 设置主机监听的地址,当一台主机有多个ip地址时,可以设置提供服务的在那个地址上。

cps = 第一个参数设置每秒钟连接进来的最大数量,当超过最大连接数时会暂停提供服务,第二个参数定义暂停时间长度。

per_source = 用来设置一个单独ip地址最大并发连接请求。

instances = 用来定义当前服务最大提供能力,通常为连接数

service_args = 用来设置默认启动服务时,附加的参数

banner = 用来定义连接进来时提供的标语信息,可以指定一个文件。

知识点:系统日志记录是通过syslogd这个程序来完成的,它生成两个进程syslogd和klogd,这个是早期的进程,后来系统日志通过rsyslog进行管理,生成的进程只有rsyslogd一个了。

[root@ms.dtedu.com~]$service rsyslog status

rsyslogd (pid  1280) is running...


提供rpc服务的是portmap应用程序。

第二章authentication(认证)

验证一个客户端的用户名和密码是否能通过检验。那么这个验证的数据库必然在验证方。

一、用户名认证原理

在计算机中,能够识别的并非是我们输入的用户名,而是UID,GID,就像是主机名对应一个ip地址,一个服务对应一个端口一样。需要一种名称转换机制,这里就称为名称解析。这个解析需要一个数据库或表来完成,常见的有dns、/etc/hosts、mysql、nis、ldap。

在计算机系统中,我们常见的登录服务、ftp服务等都要涉及到用户身份验证,比如登录会调用一个login的程序,由这个程序来验证用户身份,当用户输入用户名时,要转换成UID,需要名称解析库那么有那么多的名称解析库用哪个呢?这里使用的是/etc/passwd,而如果另一个服务也要验证可能调用的就是另一个库了,这样纷杂的情况会给程序带来很大设计压力,所以就在app和名称解析之间有了一个中间件-nsswitch。

那么程序在进行用户名认证的时候使用了nssswitch,nsswitch要调用具体的数据库文件,就需要一个“解析的过程”,这个就由/usr/lib下的库文件来完成。

[root@ms.dtedu.com~]$ls /usr/lib64/  |grep nss

libnss3.so

libnssckbi.so

libnss_compat.so

libnssdbm3.chk

libnssdbm3.so

libnss_dns.so

libnss_files.so

libnss_hesiod.so

libnss_nisplus.so

libnss_nis.so

libnsspem.so

libnsssysinit.so

libnssutil3.so

nsswitch

配置文件位置:/etc/nsswitch.conf

配置讲解:

success:服务ok,名称解析ok

notfound:服务ok,名称解析fail

unavail:服务fail

tryagain:


默认是在首个库解析成功后就返回信息,否则没有找到就继续


passwd:nis [NOTFOUND=return] files

表示如果对passwd验证的时候,首先进行nis解析,如果nis没有解析出来就不再从files中解析了,只有当nis服务不可用的时候才从files中解析。

小工具:linux认证和防护机制

getent,用来验证通过nsswitch进行配置后,当解析时是否从指定的库中进行解析的。比如:

验证nsswitch中的hosts是否是从/etc/hosts文件进行验证。

[root@ms.dtedu.com~]$getent hosts

127.0.0.1       localhost localhost.localdomain localhost4 localhost4.localdomain411

10.40.0.225     node5.dtedu.com node5

192.168.1.11    ms.dtedu.com ms

10.40.0.226     node6.dtedu.com node6


127.0.0.1       localhost localhost.localdomain localhost6 localhost6.localdomain6


只验证其中的一个信息:

[root@ms.dtedu.com~]$getent hosts node5.dtedu.com

10.40.0.225     node5.dtedu.com node5


认证和名称解析是两套完全独立的运行机制,认证过程的密码验证是通过对密码进行md5计算后生成校验码然后和系统内部shadow中保存的md5验证码进行对比来验证密码正确性的。

二、密码认证原理

1、密码的认证机制有多种手段,主要包括:

1、md5认证,就是前面说的通过/etc/shadow的验证方法。 pam_unix.so

2、直接查看密码的验证方式。

3、ldap验证pam_winbind.so

4、nis验证

5、kerberos验证

2、同样对于密码认证的多样性,造成了也需要一个专门的中间件,来管理程序使用不同的认证方式,这个中间件就是PAM,它本身是一个framwork(框架),并不做真正的认证,只是提供认证的方法(库文件,/lib64/security)。

[root@ms.dtedu.com~]$ll /lib64/security/

总用量 732

-rwxr-xr-x. 1 root root 18552 10月 15 2014 pam_access.so

-rwxr-xr-x. 1 root root  7504 12月  7 2011 pam_cap.so

-rwxr-xr-x. 1 root root 10272 10月 15 2014 pam_chroot.so

-rwxr-xr-x. 1 root root 27080 10月 15 2014 pam_console.so

-rwxr-xr-x. 1 root root 14432 10月 15 2014 pam_cracklib.so


3、配置文件/etc/pam.d/*

[root@ms.dtedu.com~]$ls /etc/pam.d/

chfn                 login             runuser            su

chsh                 newrole           runuser-l          sudo

config-util          other             smartcard-auth     sudo-i

crond                passwd            smartcard-auth-ac  su-l

cvs                  password-auth     smtp               system-auth

fingerprint-auth     password-auth-ac  smtp.postfix       system-auth-ac

fingerprint-auth-ac  remote            sshd

hbmgmtd              run_init          ssh-keycat


4、PAM(可插入式认证模块)

基本格式:Typecontrolmodule-path[module-arguments]

4.1type类型:

auth:用来检查认证密码是否匹配

acct:验证用户账户是否有效,就是匹配但不有效比如锁定。

password:验证密码修改时是否符合密码安全属性要求,比如长短,时间

session:会话验证

4.2control类型:

required:一票否决权,就是说自己这一关一定要通过,通过后其他关要不要检查自己不做决定。required必须都通过

requisite:真正意义上的一票否决权,没有一票肯定权。

sufficient:表示自己这一关如果通过了,就可以直接晋级过关了。不用检查后面的了。一票通过权,如果没有通过并没有否决权。

optional:可选项,通过就继续检查其他选项,错误就忽略。

include:



5、模块的用途

pam_unix模块,常规的登录检查模块,参数有nullok、shadow、md5

参考文件:The Linux-PAM System Administrators' Guide

二、authorization(授权)

验证一个用户是否拥有访问一个服务器提供的某项服务的能力。




本文转自 blackstome 51CTO博客,原文链接:http://blog.51cto.com/137783/1968568,如需转载请自行联系原作者
上一篇:CLI使用案例3:轻松跨库查询数据并下载到本地


下一篇:Kubernetes生态系统走向成熟,六家供应商获认证