網(wǎng)絡(luò)操作系統(tǒng)_06

1、第6章 服務(wù)配置與管理Linux服務(wù)管理PAM認(rèn)證TCPWrappers與xinetd訪(fǎng)問(wèn)控制主機(jī)防火墻6.1 Linux服務(wù)管理服務(wù)與守護(hù)進(jìn)程的概念Linux網(wǎng)絡(luò)服務(wù)定義文件/etc/services 文件格式 端口范圍 作用：記錄標(biāo)準(zhǔn)端口設(shè)置和服務(wù)名（可用于配置文件參數(shù)）Linux服務(wù)啟動(dòng)腳本 服務(wù)啟動(dòng)腳本目錄：/etc/rc.d/init.d 運(yùn)行級(jí)別 /etc/rc.d/rcN.d 符號(hào)鏈接的命名規(guī)則 啟動(dòng)腳本的運(yùn)行順序P191手動(dòng)執(zhí)行服務(wù)啟動(dòng)腳本 init.d腳本 service命令配置服務(wù)啟動(dòng)狀態(tài) chkconfig 常用參數(shù) 實(shí)質(zhì)：改變符號(hào)鏈接 實(shí)例：修改level3的vsftp

2、服務(wù) ntsysv 文本交互界面 配置當(dāng)前級(jí)別下系統(tǒng)啟動(dòng)時(shí)服務(wù)是否自動(dòng)啟動(dòng)使用圖形界面工具管理服務(wù)停用不必要的服務(wù) 查看當(dāng)前正在運(yùn)行的服務(wù)chkconfig/service的替代品：systemctl systemctl是systemd的一部分，systemd是由Lennart Poettering帶頭開(kāi)發(fā)，旨在取代傳統(tǒng)的init的軟件；飽受爭(zhēng)議的同時(shí)逐漸為各大發(fā)行版所采用； Fedora16之后都使用systemctl來(lái)取代chkconfig/service，原有命令依然存在； 新老命令的對(duì)比：6.2 PAM認(rèn)證PAM概述 PAM認(rèn)證機(jī)制的提出 身份驗(yàn)證的發(fā)展 各種驗(yàn)證方案的缺點(diǎn)：實(shí)現(xiàn)鑒別功

3、能的代碼通常作為應(yīng)用程序的一部分而一起編譯，缺乏靈活性 1995年，SUN提出PAM認(rèn)證機(jī)制，使具體認(rèn)證過(guò)程的實(shí)現(xiàn)和應(yīng)用程序相對(duì)獨(dú)立 PAM的體系結(jié)構(gòu) PAM 為了實(shí)現(xiàn)其插件功能和易用性，它采取了分層設(shè)計(jì)思想：讓各鑒別模塊從應(yīng)用程序中獨(dú)立出來(lái)，然后通過(guò)PAM API作為兩者聯(lián)系的紐帶，這樣應(yīng)用程序就可以根據(jù)需要靈活地在其中“插入”所需鑒別功能模塊，從而真正實(shí)現(xiàn)了“鑒別功能，隨需應(yīng)變”，其體系如下圖： PAM API 起著承上啟下的作用，它是應(yīng)用程序和鑒別模塊之間聯(lián)系的紐帶：當(dāng)應(yīng)用程序調(diào)用 PAM API 時(shí),應(yīng)用接口層按照配置文件 pam.conf 的規(guī)定，加載相應(yīng)的鑒別模塊。然后把請(qǐng)求（即從

4、應(yīng)用程序那里得到的參數(shù)）傳遞給底層的鑒別模塊,這時(shí)鑒別模塊就可以根據(jù)要求執(zhí)行具體的鑒別操作了。當(dāng)鑒別 模塊執(zhí)行完相應(yīng)操作后，將結(jié)果返回給應(yīng)用接口層，然后由接口層根據(jù)配置的具體情況將來(lái)自鑒別模塊的應(yīng)答返回給應(yīng)用程序。 （參P194） PAM認(rèn)證的優(yōu)勢(shì) 可以獨(dú)立為各種服務(wù)/應(yīng)用程序提供各種認(rèn)證方案 為管理員和程序員在進(jìn)行用戶(hù)認(rèn)證處理時(shí)提供靈活性 提供統(tǒng)一的認(rèn)證接口 PAM認(rèn)證的應(yīng)用 PAM已經(jīng)是Linux系統(tǒng)最主要的安全認(rèn)證模式 本地賬戶(hù)的局限性和缺點(diǎn) PAM模塊 不同的認(rèn)證方法和功能，通過(guò)不同的PAM模塊實(shí)現(xiàn) PAM模塊實(shí)際上是.so的動(dòng)態(tài)鏈接庫(kù)，位于/lib/security目錄下，可根據(jù)需要

5、動(dòng)態(tài)的添加、刪除、修改 實(shí)際需求中，有時(shí)候不僅要驗(yàn)證口令，可能要求驗(yàn)證用戶(hù)的帳戶(hù)是否已經(jīng)過(guò)期、記錄日志等，所以 PAM 在模塊層除了提供鑒別模塊外，同時(shí)提供了支持帳戶(hù)管理、會(huì)話(huà)管理以及口令管理功能的模塊，四類(lèi)模塊功能如下： auth：認(rèn)證模塊 account：賬戶(hù)管理模塊，如是否運(yùn)行登錄、是否過(guò)期等 session：會(huì)話(huà)管理模塊，如登錄/退出前后要進(jìn)行的操作 password：密碼管理，如修改密碼 應(yīng)用根據(jù)需要調(diào)用不同的模塊，如僅需要密碼，或需要密碼和指紋配置PAM 配置文件 每個(gè)支持PAM的應(yīng)用程序或服務(wù)，都在/etc/pam.d目錄中有一個(gè)相應(yīng)的配置文件，配置文件名通常和服務(wù)/應(yīng)用程序名稱(chēng)

6、相同，配置文件的作用主要是為應(yīng)用選定具體的鑒別模塊，模塊間的組合以及規(guī)定模塊的行為。 配置文件有許多登記項(xiàng)(每行對(duì)應(yīng)一個(gè)登記項(xiàng))組成，每一行又分為四列： 模塊類(lèi)型 控制標(biāo)記 模塊路徑 模塊參數(shù) 控制標(biāo)記 規(guī)定如何處理模塊的成功和失敗情況，分四類(lèi)： required：用戶(hù)通過(guò)鑒別的必要條件，如果認(rèn)證失敗，先繼續(xù)其他認(rèn)證，最后返回失敗 requisite：如果失敗，立刻返回失敗 sufficient：充分條件，如果成功，且前面的required沒(méi)有失敗，則立即返回成功；如果失敗，則最終結(jié)果根據(jù)后續(xù)認(rèn)證而定 optional：成功或失敗，不影響最終結(jié)果 incude：表示在驗(yàn)證過(guò)程中調(diào)用其他的PAM

7、配置文件（大多數(shù)是system-auth ） 模塊路徑 標(biāo)準(zhǔn)模塊（/lib/security/下的.so），使用模塊名（相對(duì)路徑） 其他模塊，使用絕對(duì)路徑名 模塊參數(shù) 可選項(xiàng)，根據(jù)具體模塊而定，多個(gè)參數(shù)間用空格分隔 配置文件分析 system-auth vsftpdsystem-auth#%PAM-1.0auth required pam_env.so使用/etc/security/pam_env.conf進(jìn)行用戶(hù)登錄之后環(huán)境變量的設(shè)置auth sufficient pam_fprintd.so指紋識(shí)別auth sufficient pam_unix.so nullok try_first_p

8、ass使用傳統(tǒng)密碼auth requisite pam_succeed_if.so uid = 500 quiet 允許uid大于500的用戶(hù)在通過(guò)密碼驗(yàn)證的情況下登錄auth required pam_deny.so 對(duì)所有不滿(mǎn)足上述任意條件的登錄請(qǐng)求直接拒絕account required pam_unix.so用戶(hù)需要通過(guò)密碼認(rèn)證account sufficient pam_localuser.so本地用戶(hù)account sufficient pam_succeed_if.so uid 500 quietaccount required pam_permit.so對(duì)所有類(lèi)型的用戶(hù)登錄請(qǐng)求

9、都開(kāi)放控制臺(tái)password requisite pam_cracklib.so try_first_pass retry=3驗(yàn)證密碼強(qiáng)度，最多輸入3次password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtokpassword required pam_deny.sosession optional pam_keyinit.so revoke當(dāng)用戶(hù)登錄的時(shí)候?yàn)槠浣⑾鄳?yīng)的密鑰環(huán)，并在用戶(hù)登出的時(shí)候予以撤銷(xiāo) session required pam_limits.so限制用戶(hù)登錄時(shí)的會(huì)話(huà)連接資源

10、session success=1 default=ignore pam_succeed_if.so service in crond quiet use_uidsession required pam_unix.sovsftpd （第八章）#%PAM-1.0session optional pam_keyinit.so force revokeauth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeedauth required pam_shells.soauth incl

11、ude system-authaccount include system-authsession include system-authsession required pam_loginuid.soTCPWrappers與xinetd訪(fǎng)問(wèn)控制inetd超級(jí)服務(wù)器 背景 一臺(tái)服務(wù)器往往提供很多服務(wù) 每個(gè)服務(wù)需要一個(gè)daemon 大量后臺(tái)運(yùn)行的daemon會(huì)消耗系統(tǒng)資源 問(wèn)題：能否在有服務(wù)請(qǐng)求時(shí)才啟動(dòng)daemon，響應(yīng)請(qǐng)求后就結(jié)束？ 解決方法 使用單獨(dú)的服務(wù)代理，根據(jù)請(qǐng)求啟動(dòng)運(yùn)行相應(yīng)daemon，daemon運(yùn)行完畢，服務(wù)代理將結(jié)果返回客戶(hù)端，這個(gè)代理就是inetd(internet daem

12、on)對(duì)比：xinetd(extended internete daemon) inetd的擴(kuò)展版本，逐漸取代inetd 更加安全，提供一個(gè)額外的安全層，可以通過(guò) “修改根目錄” 把服務(wù)隔離在一個(gè)目錄中何時(shí)使用inetd/xinetd 使用不頻繁的服務(wù)使用 使用頻繁的服務(wù)要用daemon，否則效率低下TCPWrappers基礎(chǔ) 工作原理：圖65 優(yōu)先獲取連接控制 根據(jù)訪(fǎng)問(wèn)規(guī)則決定連接控制是否轉(zhuǎn)交給被請(qǐng)求的服務(wù) 檢查/etc/hosts.allow，如有匹配，允許連接 檢查/etc/hosts.deny，如有匹配，拒絕連接 以上2個(gè)都沒(méi)有匹配，允許連接 特性（P198）與優(yōu)勢(shì) 對(duì)客戶(hù)端和網(wǎng)絡(luò)服務(wù)

13、的透明性 集中式管理多項(xiàng)協(xié)議使用TCPWrappers控制網(wǎng)絡(luò)服務(wù)訪(fǎng)問(wèn) 確定服務(wù)是否由TCPWrappers控制 ldd 可執(zhí)行文件名 | grep “l(fā)ibwrap” 主機(jī)訪(fǎng)問(wèn)文件格式 /etc/hosts.allow /etc/hosts.deny : 主機(jī)訪(fǎng)問(wèn)規(guī)則 例TCPWrappers和防火墻的區(qū)別 提供額外的保護(hù)層 提供某些防火墻不具備的功能 應(yīng)和防火墻共同使用使用xinetd集中管理服務(wù) xinetd超級(jí)服務(wù) 服務(wù)訪(fǎng)問(wèn)控制 xinetd調(diào)用libwrap.a檢查T(mén)CP Wrappers主機(jī)訪(fǎng)問(wèn)規(guī)則，如匹配拒絕規(guī)則，則阻斷連接，如匹配允許規(guī)則，則連接傳給xinetd xinetd檢查自身訪(fǎng)問(wèn)規(guī)則，如匹配拒絕規(guī)則，則放棄連接，否則，啟動(dòng)被請(qǐng)求的服務(wù)，讓客戶(hù)端連接到服務(wù)。 客戶(hù)端和服務(wù)端建立連接后，xinetd不再參與通信 xinetd 配置文件 全局配置：/etc/xinetd.conf