了解 PAM 和 PAM 感知守护程序之间的通信

了解 PAM 和 PAM 感知守护程序之间的通信

假设我已配置sshd(链接到libpam.so.0共享库)以使用 PAM,并且我有以下/etc/pam.d/sshd内容:

auth        requisite   pam_nologin.so
auth    required        pam_env.so
auth    required        pam_unix.so     try_first_pass 
auth    required        pam_google_authenticator.so
account     requisite   pam_nologin.so
account required        pam_unix.so     try_first_pass
password        requisite       pam_cracklib.so
password        required        pam_unix.so     use_authtok nullok shadow try_first_pass 
session     required    pam_loginuid.so
session required        pam_limits.so
session required        pam_unix.so     try_first_pass 
session optional        pam_umask.so
session optional        pam_systemd.so
session optional        pam_env.so
session  optional       pam_lastlog.so   silent noupdate showfailed

我是否正确地认为 PAMsshd在每个堆栈末尾通知成功或失败?那么首先auth处理设施,然后将结果返回到sshd,然后account处理设施并将account堆栈结果返回到sshd,等等?当经过身份验证的会话结束时,守护进程是否会通知 PAM?

答案1

从某种意义上说,这就是正在发生的事情,但我不会那样说。因为 PAM 不会主动通知 sshd,而是 sshd 通过函数调用询问 PAM(例如pam_authenticate,pam_acct_mgmt等)并根据结果采取行动。 PAM 也不会自动知道会话何时关闭,而是必须通过pam_close_session(因为会话可以从另一个应用程序关闭)。

您可以查找 openssh 的源代码,以了解 sshd 在何处以及如何利用 PAM。我还推荐Linux-PAM 应用程序开发人员指南如果您对细节感兴趣。

答案2

如果通过堆栈,您的意思是身份验证、帐户、密码和会话,那么不,PAM 不会在每一项之后通知 sshd。堆叠仅意味着它们一起用于执行一件事,在您的情况下是授予或拒绝访问。第一列是模块接口,第二列是控制标志,第三列是模块名称和参数。首先,auth 验证密码,account 确定所使用的帐户是否具有访问权限,password 用于更改密码,session 用于挂载主目录或启用邮件。控制标志是不言自明的:required 意味着它必须为真,sufficient 如果失败则被忽略,但如果成功则继续,等等。最后一个告诉它在这种情况下 PAM 使用哪个模块。

2)没有。

相关内容