PAM简介
PAM是 PLUGGABLE AUTHENTICATION MODULES 的缩写。
它是一套共享库.它可以让系统管理员选择应用程序怎样去认证用户,而不需要知道应用程序的内部的实现细节,也不需要重新编译代码。
在PAM出现之前,一般的应用程序,在要去认证用户时,它们会将某种特定的认证方式硬编码到程序内部。比如,传统的UNI*操作系统上的用户登入程序,它先获得用户的用户名和密码,然后,将用户输入的密码进行计算得到密文,最后,将得到的密文和/etc/shadow文件中的该用户所在行的第二个字段进行比较,如果相同,则认证通过,否则,认证失败。
这种认证过程的缺点在于,你无法方便地去改变登入程序所使用的这种认证方式(除非你自己去修改源代码,然后编译)。
随着计算机速度的飚升,和网络并行计算的的普及,越来越多的旧的认证机制变得非常得脆弱;同时,也出于用户管理方便的需要,我们有时侯需要去改变应用程序的认证过程 。
这时候,传统的应用程序的认证机制就显得很不方便。PAM 就在这时候诞生了。
如果某个应用程序使用了PAM,当它需要进行用户认证的时候,只需要把认证过程简单得交给PAM模块,然后,由PAM模块对用户进行认证,PAM再将认证的结果返回给应用程序。应用程序并不知道PAM到底使用了使么方法对用户进行了认证,这个由系统管理员来决定。管理员可以天真地使用simple trust (pam_permit)来进行认证,也可以使用非常复杂的认证方式,如网膜认证、声纹认证等。
下面是认证的过程图解。
上图中,左边是应用程序(application) X, 它简单地调用PAM模块所提供的接口 (interfaces), 然后中间的PAM模块读取PAM config file(PAM配置文件, 这些配置文件通常是/etc/pam.conf或者是/etc/pam.d/*)来决定使用什么认证方式。之后,PAM进行用户,最后,PAM将认证结果返回给应用程序。对于应用程序来讲,认证过程是怎么进行的,它并不知道。应用程序到底使用什么认证方式,是由管理员修改配置文件来决定的。
从图中可以看出,PAM的功能被分为四个部分: (1) authentication(认证), (2)account(账号管理), (3) password (密码管理), 和 (4)session (对话管理)。
以下解释这四个功能的具体任务以及PAM提供给应用程序的接口:
配置文件的修改:配置文件的格式为:
login auth required pam_unix_auth.so nowarn
login session required pam_unix_session.so
login account required pam_unix_account.so
模块类型分别对应上述四种managements中的一种。PAM在认证时,就按照从上往下的顺序,依次进行每一个认证。
pam.conf中的 “控制标志” 实际上是指明这些 Stacked module 的工作方式。
它可取的值如下:
(a) required:
该模块的让正必须通过,失败者立即返回错误信息。
(b) optional:
表示可以忽略它的错误而继续下面一个模块。
(c)sufficient:
表明通过该模块的认证已经是足够了, 下面的模块就不用被调用了, 认证也就到此结束,PAM立即返回成功的消息。
在linux下, 也可以用/etc/pam.d中的文件来配置.这些文件的格式与pam.conf
类似,只是在文件中没有包含服务名. 其服务名就是它的文件名。
如上述的login也可以配置如下:
auth required pam_unix.so debug
auth required pam_kerb.so use_mapped_pass
auth optional pam_rsa.so use_first_pass
许多linux发行版本都支持usb启动。
今天我们来学习制作一个usb启动工具盘。
首先作以下假定:
usb 设备是 /dev/sdb
usb盘挂载点 /mnt/usbdisk
grub 引导器安装到usb盘上的步骤:
确定usb 盘的位置, 一般为 /dev/sdb
使用以下命令清除mbr引导字节
使用 syslinux 中的 mbr.bin 加载到usb盘上
[root@localhost]# cat /somepath/share/syslinux/mbr.bin > /dev/sdb
使用fdisk对usb盘进行分区, 类似结果如下 :
/dev/sdb1 * 1 1018 993537+ 83 Linux
在分区上创建ext3文件系统,并且挂在usb盘
[root@localhost]# mkdir -p /mnt/usbdisk
[root@localhost]# mount /dev/sdb1 /mnt/usbdisk
安装GRUB boot loader到usb盘上
创建grub.conf配置文件
cat > /mnt/usbdisk/boot/grub/grub.conf << EOF
title Usb linux
root (hd0,0)
kernel /boot/kernel-xxxx root=/dev/sda1 ro
initrd /boot/initrd-xxxx.img
EOF
将kernel和initrd 拷贝到usb盘上,重启系统,就可以引导系统了。
以下所有的系统设置都是在RedHat系列的操作系统上配置的,其他发行版本,请酌情参考使用。
1. 设置静态路由
一般来说,我们服务器设置2个网卡,配置不同的网段的ip地址,但是某些网段我们需要走特定网口出去,我们需要设置静态路由来达到我们的目的,方法如下:
通过 route 命令增加静态路由,可以放到/etc/rc.local文件中
route add -net 10.20.0.0 netmask 255.255.0.0 gw 192.168.1.1 dev eth1
通过设置静态路由配置文件,来随服务器启动自动加载静态路由
RedHat 6/7/8/9 早期发行版本配置文件 /etc/sysconfig/static-routes
any host 10.10.10.10 gw 192.168.1.1 # 主机路由
any net 10.20.0.0/16 gw 192.168.1.1 # 路由整个 10.20 network
RHEL 3/4/5 目前发行版本配置文件 ** /etc/sysconfig/network-scripts/route-interface ** 在这里 route-interface 要替换成对应网卡名称,比如给eth1设置静态路由,那么配置文件名称就是 route-eth1
ADDRESS0=10.10.10.10
NETMASK0=255.255.255.255
GATEWAY0=192.168.1.1
ADDRESS1=10.20.0.0
NETMASK1=255.255.0.0
GATEWAY1=192.168.1.1
2. 让命令行提示更有用(PS1)
这样就可以直接看到自己所在当前的目录,不同的颜色提示可以提高注意力。