跳过导航链接 | |
退出打印视图 | |
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
本节介绍使 PAM 框架使用特定安全策略所需执行的一些任务。应注意与 PAM 配置文件关联的某些安全问题。有关安全问题的信息,请参见规划 PAM 实现。
|
所提供的 pam.conf 配置文件可实现标准安全策略。此策略应适用于许多情况。如果需要实现其他安全策略,则应关注以下问题:
确定您的需求,特别是应选择的 PAM 服务模块。
确定需要特殊配置选项的服务。使用 other(如果适用)。
决定模块的运行顺序。
选择每个模块的控制标志。有关所有控制标志的更多信息,请参见PAM 堆栈工作原理。
选择每个模块必需的所有选项。每个模块的手册页应列出所有特殊选项。
以下是更改 PAM 配置文件之前要考虑的一些建议:
对每种模块类型使用 other 项,以便 /etc/pam.conf 中不必包括每个应用程序。
确保考虑 binding、sufficient 和 optional 控制标志所涉及的安全问题。
查阅与模块关联的手册页。这些手册页可帮助您了解每个模块的工作方式、可用的选项以及堆叠模块之间的交互。
注意 - 如果 PAM 配置文件配置错误或者被损坏,则任何用户都可能无法登录。由于 sulogin 命令不使用 PAM,因此,需要使用超级用户口令将计算机引导至单用户模式并修复问题。 |
更改了 /etc/pam.conf 文件之后,在您仍具有系统访问权限的情况下,尽可能多地检查此文件以更正问题。对更改可能影响到的所有命令进行测试。例如,向 telnet 服务中添加新模块。在此示例中,将使用 telnet 命令并检验所做的更改是否使服务按预期方式运行。
此过程说明如何添加新的 PAM 模块。可以创建新模块以提供特定于站点的安全策略或支持第三方应用程序。
角色包含授权和具有一定特权的命令。有关角色的更多信息,请参见配置 RBAC(任务列表)。
有关控制标志的信息,请参见PAM 堆栈工作原理。
必须在重新引导系统之前进行测试,以防此配置文件配置错误。在重新引导系统之前,使用直接服务(例如 ssh)登录,然后运行 su 命令。此服务可能是引导系统时仅产生一次的守护进程。因此,必须先重新引导系统,然后才能检验是否已添加模块。
角色包含授权和具有一定特权的命令。有关角色的更多信息,请参见配置 RBAC(任务列表)。
此步骤用于防止在 rlogin 会话期间读取 ~/.rhosts 文件。因此,此步骤可防止从远程系统对本地系统进行未经验证的访问。无论 ~/.rhosts 或 /etc/hosts.equiv 文件是否存在或包含什么内容,所有 rlogin 访问都要求提供口令。
要防止对 ~/.rhosts 文件进行其他未经验证的访问,请记住禁用 rsh 服务。
# svcadm disable network/shell
角色包含授权和具有一定特权的命令。有关角色的更多信息,请参见配置 RBAC(任务列表)。
有关日志记录级别的更多信息,请参见 syslog.conf(4)。
# svcadm refresh system/system-log