Linux-PAM認證機制

在新主機更改用戶密碼的時候，經常會出現"passwd: Have exhausted maximum number of retries for service"的報錯

[root@10-112-41-157 ~]# echo 'co4lgTdDD3iK7WYEJAyL0KT5pLXS0o3r' | passwd --stdin testpam
Changing password for user testpam.
passwd: Have exhausted maximum number of retries for service

實際之上，可以使用chpasswd命令更改解決，但非明文更改密碼無法實現

1.PAM機制

在centos 6中用戶的密碼權限更變模塊主要涉及到PAM(Pluggable Authentication Modules)認證機制，該機制由Sun公司提供，在Linux中，PAM是可動態配置的，本地系統管理員可以自由選擇應用程序如何對用戶進行身份驗證。PAM應用在許多程序與服務上，比如登錄程序(login、su)的PAM身份驗證（口令認證、限制登錄），passwd強制密碼，用戶進程實時管理，向用戶分配系統資源等

點擊我:>>centos官方文檔說明

2.centos pam配置文件的構成

pam主要由動態庫與配置文件構成。/etc/pam.d/目錄中定義了各種程序和服務的PAM配置文件，如其中system-auth文件是PAM模塊的重要配置文件，它主要負責用戶登錄系統的身份認證工作，不僅如此，其他的應用程序或服務可以通過include接口來調用它（該文件是system-auth-ac的軟鏈接）。此外password-auth配置文件也是與身份驗證相關的重要配置文件，比如用戶的遠程登錄驗證(SSH登錄)就通過它調用。而模塊文件則主要存放於/lib64/security/中

1.配置文件

[root@10-110-122-196 ~]# ll /etc/pam.d/
total 148
-rw-r--r--. 1 root root 272 Oct 18  2014 atd
-rw-r--r--. 1 root root 192 Oct 15  2014 chfn
-rw-r--r--. 1 root root 192 Oct 15  2014 chsh
-rw-r--r--  1 root root 232 Aug 18  2015 config-util
-rw-r--r--. 1 root root 293 Nov 23  2013 crond
-rw-r--r--. 1 root root  71 Nov 22  2013 cvs
-rw-r--r--. 1 root root 115 Nov 11  2010 eject
lrwxrwxrwx. 1 root root  19 Jan 14  2016 fingerprint-auth -> fingerprint-auth-ac
-rw-r--r--. 1 root root 659 Jan 14  2016 fingerprint-auth-ac
略

2.依賴的模塊

[root@10-110-122-196 ~]# ll /lib64/security/
total 808
-rwxr-xr-x  1 root root 18552 Aug 18  2015 pam_access.so
-rwxr-xr-x. 1 root root  7504 Dec  8  2011 pam_cap.so
-rwxr-xr-x  1 root root 10272 Aug 18  2015 pam_chroot.so
-rwxr-xr-x. 1 root root  9216 Nov 11  2010 pam_ck_connector.so
-rwxr-xr-x  1 root root 27080 Aug 18  2015 pam_console.so
-rwxr-xr-x  1 root root 14432 Aug 18  2015 pam_cracklib.so
-rwxr-xr-x  1 root root 10168 Aug 18  2015 pam_debug.so
以下略

3.判斷是否使用pam認證

判斷一個程序是否使用了pam認證，可以查看其是否有使用pam模塊即可

[root@10-110-122-196 pam.d]# ldd /usr/sbin/sshd | grep pam
	libpam.so.0 => /lib64/libpam.so.0 (0x00007f3460605000)
[root@10-110-122-196 pam.d]# ldd /usr/bin/passwd | grep pam
	libpam_misc.so.0 => /lib64/libpam_misc.so.0 (0x00007fe943edb000)
	libpam.so.0 => /lib64/libpam.so.0 (0x00007fe9434f6000)

以上說明sshd和passwd都有使用pam認證

3.pam配置文件的格式語法

<module interface>  <control flag>   <module name>   <module arguments>

詳細查看一台主機中的system-auth-ac配置文件

[root@10-110-122-196 pam.d]# cat system-auth-ac 
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so

password    requisite     pam_cracklib.so  retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

1.模塊接口:

參數	作用
auth	認證模塊接口，如驗證用戶身份、檢查密碼是否可以通過，並設置用戶憑據
account	賬戶模塊接口，檢查指定賬戶是否滿足當前驗證條件，檢查賬戶是否到期等
password	密碼模塊接口，用於更改用戶密碼，以及強制使用強密碼配置
session	會話模塊接口，用於管理和配置用戶會話。會話在用戶成功認證之后啟動生效

2.控制標識:

參數	作用
required	模塊結果必須成功才能繼續認證，如果在此處測試失敗，則繼續測試引用在該模塊接口的下一個模塊，直到所有的模塊測試完成，才將結果通知給用戶。
requisite	模塊結果必須成功才能繼續認證，如果在此處測試失敗，則會立即將失敗結果通知給用戶。
sufficient	模塊結果如果測試失敗，將被忽略。如果sufficient模塊測試成功，並且之前的required模塊沒有發生故障，PAM會向應用程序返回通過的結果，不會再調用堆棧中其他模塊。
optional	該模塊返回的通過/失敗結果被忽略。當沒有其他模塊被引用時，標記為optional模塊並且成功驗證時該模塊才是必須的。該模塊被調用來執行一些操作，並不影響模塊堆棧的結果。
include	include與模塊結果的處理方式無關。該標志用於直接引用其他PAM模塊的配置參數

3.模塊參數

這里面主要講pam_cracklib.so的相關參數，因為用戶密碼修改主要與此模塊相關

參數	作用
authtok_type=xxx	用戶密碼修改的提示語，默認為空
retry=N	密碼嘗試錯誤N次禁止登錄，默認為1
difok=N	新舊密碼不得有N個字符重復，默認為5
difignore=N	字符數達到N個后，忽略difok，默認為23
minlen=N	密碼長度不得少於N位
dcredit=N	至少包含N個數字
ucredit=N	至少包含N個大寫字母
lcredit=N	至少包含N個小寫字母
ocredit=N	至少包含N個特殊字母
minclass=N	至少包含N種字符類型
maxrepeat=N	不能包含N個連續的字符
reject_username	不能包含用戶名
use_authtok	強制使用之前的密碼，即不允許用戶修改密碼
dictpath=/path/to/dict	指定cracklib模塊的路徑

注意，以上參數僅對非root用戶生效，如果想對root用戶生效，需要加入參數enforce_for_root

4.passwd與chpasswd的區別

因為passwd不能更改密碼的時候，可以直接使用chpasswd進行更改

[root@10-110-122-196 pam.d]# ldd /usr/sbin/chpasswd | grep pam
[root@10-110-122-196 pam.d]# ldd /usr/bin/passwd | grep pam
	libpam_misc.so.0 => /lib64/libpam_misc.so.0 (0x00007f64dd087000)
	libpam.so.0 => /lib64/libpam.so.0 (0x00007f64dc6a2000)

從以上可以看得，chpasswd並未使用pam認證機制，所以在passwd不能修改密碼的時候，可以進行密碼的修改。

從man中查看兩者的區別

NAME
       passwd - update user’s authentication tokens

SYNOPSIS
       passwd [-k] [-l] [-u [-f]] [-d] [-e] [-n mindays] [-x maxdays] [-w warndays] [-i inactivedays] [-S] [--stdin] [username]

DESCRIPTION
       The passwd utility is used to update user’s authentication token(s).
       This task is achieved through calls to the Linux-PAM and Libuser API.  Essentially, it initializes itself as a "passwd" service with Linux-PAM and utilizes configured password modules to authenticate and then update a user’s password.

NAME
       chpasswd - update passwords in batch mode

SYNOPSIS
       chpasswd [options]

DESCRIPTION
       The chpasswd command reads a list of user name and password pairs from standard input and uses this information to update a group of existing users. Each line is of the format:
       user_name:password
       By default the supplied password must be in clear-text, and is encrypted by chpasswd. Also the password age will be updated, if present.
       The default encryption algorithm can be defined for the system with the ENCRYPT_METHOD variable of /etc/login.defs, and can be overwiten with the -e, -m, or -c options.
       chpasswd first update the password in memory, and then commit all the changes to disk if no errors occured for any users.
       This command is intended to be used in a large system environment where many accounts are created at a single time.

很顯然可以查看得到passwd需要調用linux-PAM，然后調用密碼模塊，最后更新用戶密碼。而chpasswd是直接更新用戶密碼

而chpasswd使用的加密算法可以通過選項進行控制，默認是使用SHA-512算法

從/etc/shadow文件中可以看到用戶加密碼后的密碼

[root@10-110-122-196 pam.d]# cat /etc/shadow
root:$6$hFXXRDb0$jQsZU9Lo8.HeYt4.kGr4QD8eUypaBr6EV403dN1LWBTXChNNXad0sHWl/55T7PiKUwdYoiAyeDt1.xqqf2Pt61:17477:0:99999:7:::

其中第二行中的6，代替加密算法為SHA-512，從系統庫文件為GLIBC_2.7起，默認加密算法均為 SHA-512，查看系統庫glibc版本方法:

[root@10-110-122-196 pam.d]# strings /lib64/libc.so.6 | grep GLIBC
GLIBC_2.2.5
GLIBC_2.2.6
GLIBC_2.3
GLIBC_2.3.2
GLIBC_2.3.3
GLIBC_2.3.4
GLIBC_2.4
GLIBC_2.5
GLIBC_2.6
GLIBC_2.7
GLIBC_2.8
GLIBC_2.9
GLIBC_2.10
GLIBC_2.11
GLIBC_2.12
GLIBC_PRIVATE

centos6系統以上即為2.12版本