章 4. 認證和訪問控制

下面是一些 PAM 和 NSS 存取的重要組態檔案。

密碼選擇的限制是通過 PAM 模組 pam_unix(8) 和 pam_cracklib(8) 來實現的。它們可以通過各自的參數進行調配。

	提示
	PAM 模組在檔名中使用字尾 “.so”。

現代的集中式系統管理可以使用集中式的輕量目錄存取協議（LDAP）伺服器進行部署，從而通過網路管理許多類 Unix 和 非類 Unix 系統。輕量目錄存取協議的開源實現是 OpenLDAP 軟體。

LDAP 伺服器使用帶有 PAM 和 NSS 的libpam-ldap 和 libnss-ldap 軟體包為 Debian 系統提供帳號資訊。需要一些動作來啟用 LDAP（我沒有使用過這個設定，並且下面的資訊純粹是第二手的資訊。請在這種前提下閱讀下列內容。）。

參見由 libpam-doc 軟體包提供的 pam_ldap.conf(5) 中的文件和 “/usr/share/doc/libpam-doc/html/”，以及 glibc-doc 軟體包提供的 “info libc 'Name Service Switch'”。

類似地，你可以使用其它方法來設定另一種集中式的系統。

這是在舊的 “info su” 底部 Richard M. Stallman 所說的一句名言。別擔心：Debian 系統中當前的 su 指令使用了 PAM，這樣當在 “/etc/pam.d/su” 中啟用了帶有 “pam_wheel.so” 的行後，就能夠限制非 wheel 組的使用者 su 到 root 組的能力。

# here are the per-package modules (the "Primary" block)
password	requisite			pam_cracklib.so retry=3 minlen=8 difok=3
password	[success=1 default=ignore]	pam_unix.so obscure use_authtok try_first_pass yescrypt
# here's the fallback if no module succeeds
password	requisite			pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password	required			pam_permit.so
# and here are more per-package modules (the "Additional" block)
password	optional	pam_gnome_keyring.so
# end of pam-auth-update config

許多流行的傳輸層服務，互動資訊使用純文字的密碼認證。這是非常差的方式，通過公共的網際網路傳輸純文字密碼，密碼能夠被截獲到。你能夠執行這些服務，使用 "Transport Layer Security" (TLS) 或它的前身, "Secure Sockets Layer" (SSL) ，通過加密來使包括密碼在內的整個通訊更加安全。

加密消耗 CPU 時間。作為對 CPU 有益的替代方案，你可以保持使用純文字通訊，僅僅使用安全認證協議加密密碼，比如說：POP 使用"Authenticated Post Office Protocol" (APOP)，SMTP 和 IMAP 使用 "Challenge-Response Authentication Mechanism MD5" (CRAM-MD5)。（你的郵件客戶端通過網際網路上你的郵件伺服器傳送郵件時，最近流行使用新的遞交埠 587 來代替傳統的 SMTP 埠 25，這樣可以避免在使用 CRAM-MD5 認證自己時，網路提供商阻塞 25 埠。）

安全 Shell (SSH) 程式使用安全認證來提供不安全網路上兩個不可信任主機之間的安全加密通訊。它由 OpenSSH 客戶端, ssh(1), 和 OpenSSH 後臺背景程式（daemon）, sshd(8)組成.SSH 使用埠轉發特性，可以給 POP 和 X 之類的不安全的協議通訊建立隧道，使其可以在網際網路上安全傳輸。

客戶端可以使用如下方式來認證自己：基於主機的認證、公鑰認證、質疑應答認證、密碼認證。使用公鑰認證，可以實現遠端免密碼登入。參見 節 6.3, “伺服器遠端存取和工具 (SSH)”.

即使你執行 Secure Shell (SSH) 和 Point-to-point tunneling protocol (PPTP) 這樣的安全服務，在網際網路上，仍然有機會使用野蠻暴力猜測密碼攻擊進入。 使用防火牆策略 (參見 節 5.7, “Netfilter 網路過濾框架”)，並和下面的安全工具一起，可以提升安全形勢。

為阻止人們使用 root 許可權存取你的機器，你需要做下面的操作。

• 阻止對硬碟的物理存取

• 鎖住 UEFI/ BIOS 來阻止從可移動介質啟動

• 為 GRUB 互動式會話設定密碼

• 鎖住 GRUB 選單，禁止編輯

如果可以物理存取硬碟，則可以使用下面的步驟，相對簡單的重置密碼。

1. 將硬碟拿到一個可以設定 UEFI/BIOS 從 CD 啟動的電腦。

2. 使用緊急介質啟動系統（Debian 啟動磁碟, Knoppix CD, GRUB CD, …）。

3. 用讀寫存取掛載根分割槽。

4. 編輯根分割槽的"/etc/passwd"檔案，使 root 帳號條目的第二段為空。

對於 grub-rescue-pc ，即使用緊急介質啟動的電腦，如果有編輯 GRUB 選單條目 (參見 節 3.1.2, “第二階段：引載加載程序”) 的許可權，在啟動時，使用下面的步驟更加簡單。

系統的 root shell 現在可以無密碼存取了。

為避免這些相關問題，僅有的理論上的軟體解決方案是使用 dm-crypt 和 initramfs (參見 節 9.9, “資料加密提示”)加密 root 分割槽(或 "/etc" 分割槽) 。這樣的話，你總是需要密碼來啟動系統。

訪問控制列表 ACL 是在 節 1.2.3, “檔案系統權限” 裡面解釋的普通許可權的一個超集。

在現代桌面環境中，你會遇到 ACL 行為。比如，當一個已經格式化的 USB 儲存裝置自動掛載到 "/media/penguin/USBSTICK"，一個普通使用者 penguin 能夠執行：

 $ cd /media/penguin
 $ ls -la
total 16
drwxr-x---+ 1 root    root    16 Jan 17 22:55 .
drwxr-xr-x  1 root    root    28 Sep 17 19:03 ..
drwxr-xr-x  1 penguin penguin 18 Jan  6 07:05 USBSTICK

在第 11 列的 "+" 表示 ACL 在使用。如果沒有 ACL，一個普通使用者 penguin 應該不能夠像這樣列出目錄內容，因為 penguin 不在 root 組。你能夠按如下方式檢視 ACL：

 $ getfacl .
# file: .
# owner: root
# group: root
user::rwx
user:penguin:r-x
group::---
mask::r-x
other::---

這裡：

更多資訊參見 "POSIX Access Control Lists on Linux"、acl(5)、 getfacl(1) 和 setfacl。

sudo(8) 程式是為了使一個系統管理員可以給使用者受限的 root 許可權並記錄 root 活動而設計的。sudo 只需要一個普通使用者的密碼。安裝 sudo 軟體包並通過設定 “/etc/sudoers” 中的選項來使用它。參見 “/usr/share/doc/sudo/examples/sudoers” 和 節 1.1.12, “sudo 調配” 中的調配示例。

我將 sudo 用於單使用者系統（參見 節 1.1.12, “sudo 調配”）是為了防止自己可能做出的愚蠢行為。就我個人而言，我認為使用 sudo 會比使用 root 帳號作業系統來得好。例如，下列指令將 “some_file” 的擁有者改變為 “my_name”。

$ sudo chown my_name some_file

當然如果你知道 root 密碼（比如自行安裝 Debian 的使用者所做的），任何使用者賬號都可以使用 “su -c” 讓任何指令以 root 執行。

PolicyKit 是在類 Unix 作業系統中控制整個系統許可權的一個作業系統元件。

新的 GUI 圖形介面程式，在設計的時候，不是作為特權程序來執行。它們通過 PolicyKit 來和特權程序通訊，執行管理操作。

在 Debian 系統中，PolicyKit 限制了屬於 sudo 組的使用者帳號的這種操作。

參見 polkit(8)。

對系統安全而言，儘可能的禁用服務程式，是一個好的主意。網路服務是危險的。有不使用的服務，不管是直接由後臺背景程式（daemon）啟用，還是通過super-server 程式啟用，都被認為是安全風險。

許多程式,比如說 sshd(8), 使用基於 PAM 的存取控制。也還有許多方式來限制存取一些服務端的程式。

參見 節 3.5, “系統管理”、節 4.5.1, “PAM 和 NSS 存取的組態檔案” 和 節 5.7, “Netfilter 網路過濾框架”。

Linux 核心已經發展和支援在傳統的 UNIX 實現裡面沒有的安全特徵。

Linux 支援 擴充套件屬性，擴充套件了傳統的 UNIX 屬性 (參見 xattr(7))。

Linux 把傳統的超級使用者相關的特權分開到不同的單元，被稱為 capabilities(7)，它能夠獨立的啟用和停用。從 2.2 版本核心開始，Capabilities 是一個執行緒獨立的屬性。

Linux Security Module (LSM) 安全模組框架 提供了一個多方面的安全檢查機制，和新的核心擴充套件關聯。例如：

這些擴充套件緊縮的權力模型比普通的類 Unix 安全模型策略更加嚴格，甚至 root 的權力也被限制。建議你閱讀 kernel.org 上的 Linux 安全模組（LSM）框架文件。

Linux 的 namespaces 封裝了一個全域性系統資源到一個抽象的概念，全域性系統資源在 namespace 內對程序可見，並且 namespace 有它們自己的全域性資源隔離例項。 對其它程序全域性資源的可見性的改變是，同一個 namespace 的成員可見，但是對非同一個 namespace 的其它程序不可見。從核心 5.6 版本起，有 8 種 namespaces (參見 namespaces(7), unshare(1), nsenter(1))。

在 Debian 11 Bullseye (2021) 中, Debian 使用 unified cgroup hierarchy（統一 cgroup 層級架構） (亦稱為 cgroups-v2)。

namespaces 同 cgroups 一起來隔離它們的程序，允許資源控制的使用示例是：

這些功能不能夠透過 節 4.1, “一般的 Unix 認證” 實現。這些高階話題大部分超出了本介紹文件的範圍。