CN103745157A - 一种基于pam模块的***分权的方法 - Google Patents
一种基于pam模块的***分权的方法 Download PDFInfo
- Publication number
- CN103745157A CN103745157A CN201410011839.5A CN201410011839A CN103745157A CN 103745157 A CN103745157 A CN 103745157A CN 201410011839 A CN201410011839 A CN 201410011839A CN 103745157 A CN103745157 A CN 103745157A
- Authority
- CN
- China
- Prior art keywords
- user
- pam
- module
- authentication
- root
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种基于pam模块的***分权的方法,包括以下三个部分:特权用户,分权模块,用户权利配置文件,在用户本地登陆或远程登陆过程中,在pam模块认证的时候,加入对用户的判断,对root用户进行权力拆分,分别赋予安全管理员用户和审计用户以不同的权力,使得root权限最小化。该一种基于pam模块的***分权的方法和现有技术相比,在对root用户进行权力拆分的同时,分别赋予安全管理员用户和审计用户以不同的权力,使得root权限最小化,即使某一帐户被攻破,也不会出现灾难性后果,提高***的安全性。
Description
技术领域
本发明涉及计算机操作***技术领域,更具体地说是基于pam模块的***分权的方法。
背景技术
随着基于网络的应用服务的迅速增长,计算机***的安全保障成为主要关注的焦点。然而仅仅依赖计算机应用空间的安全机制,无法从根本上解决计算机***的安全问题。没有操作***安全机制的保障,应用空间的安全机制容易遭受破坏、旁路和欺骗攻击。上层应用的安全机制,诸如访问控制和加密等必须依赖操作***的强制访问控制、可信路径等机制的支持,才能实现其安全功能。
传统的linux操作***是超级用户对普通用户的模型,***给予普通用户尽可能低的权利,而赋予root用户所有权限,其它用户通过setuid命令便可以获得root权限,及一个进程或者用户要么具有很少的权限,要么具有所有的权限,如果程序编写不好就可能被攻击者利用而获得***控制权,因此提出了角色定权的机制,以拆分root权限并分给其它的用户;
基于以上原因,本发明提供了一种***分权的方法,通过此方法可以拆分root权限,并赋予另外两个特权用户:安全管理员用户和审计用户,使得每个用户都具有完成其本职工作的最小权利,此方法简单易实现,只需要通过pam模块在用户登陆时进行认证即可。
发明内容
本发明的技术任务是解决现有技术的不足,提供一种基于pam模块的***分权的方法。
本发明的技术方案是按以下方式实现的,该一种基于pam模块的***分权的方法,包括以下三个部分:
特权用户,为***设定三个管理类账户,root用户:一般的管理工作;安全管理员用户:为***其它用户或进程设置权力;审计用户:审计方面工作;
分权模块,对root用户进行拆分,并通过权利设置函数为root用户及另外两个特权用户设置***权限,实现root用户的权利拆分;
用户权利配置文件,指明上述三个特权用户应具有的最小权利集,在可插拔认证的pam模块认证时供权利设置函数读取,并且指明pam认证时所使用的pam模块以进行权利拆分;
在用户本地登陆或远程登陆过程中,在pam模块认证的时候,加入对用户的判断,对root用户进行权力拆分,分别赋予安全管理员用户和审计用户以不同的权力,使得root权限最小化。
所述pam模块包括应用程序层、应用接口层和鉴别模块层,其中鉴别模块层处于整个PAM结构的最底层,它向上为应用接口层提供用户认证鉴别服务;应用接口层位于PAM结构的中间部分,它向上为应用程序屏蔽用户鉴别过程的具体细节,向下则调用模块层中的具体模块所提供的特定服务,它主要由PAM API和配置文件两部分组成,其中pam API实现鉴别过程:
当应用程序调用PAM API 时,应用接口层按照PAM配置文件的定义来加载相应的认证鉴别模块,然后把请求传递给底层的认证鉴别模块,认证鉴别模块根据要求执行具体的认证鉴别操作;
当认证鉴别模块执行完相应的操作后,再将结果返回给应用接口层,然后由接口层根据配置的具体情况将来自认证鉴别模块的应答返回给应用程序。
所述鉴别模块层提供的认证鉴别服务是指:对root用户进行权力拆分,通过在会话类接口中加入用户权力设置函数,对root所拥有的权利进行重新设置。
所述应用接口层中的配置文件包括两种:一种是用户与权利对应的配置文件,此配置文件用于在为用户赋予权利时使用,通过读取此配置文件可以明确不同用户应赋予的权利,并可以修改某一用户的权力集;另一种pam模块的配置文件,需要在此配置文件中指定需要认证的服务,及认证时所用到的pam模块名。
本发明与现有技术相比所产生的有益效果是:
本发明的一种基于pam模块的***分权的方法可以实现root用户的权利拆分,并建立其它两个特权用户,分别赋予root拆分后的权利,在***本地登陆或是远程登陆时通过pam认证,针对不同的用户赋予其所承担工作所需要的最小权利,使得三个特权用户相互独立,相互制约,并且某一用户不会获得***所有权利;使得不同的用户具有完成各自工作的相互独立的权限,以提高***的安全性,实用性强,易于推广。
附图说明
附图1是本发明pam结构框架示意图。
具体实施方式
下面结合附图对本发明的一种基于pam模块的***分权的方法作以下详细说明。
如附图1所示,本发明提供一种基于pam模块的***分权的方法,包括以下三个部分:
特权用户,为***设定三个管理类账户,root用户:一般的管理工作;安全管理员用户:为***其它用户或进程设置权力;审计用户:审计方面工作;
分权模块,对root用户进行拆分,并通过权利设置函数为root用户及另外两个特权用户设置***权限,实现root用户的权利拆分;
用户权利配置文件,指明上述三个特权用户应具有的最小权利集,在可插拔认证的pam模块认证时供权利设置函数读取,并且指明pam认证时所使用的pam模块以进行权利拆分;
在用户本地登陆或远程登陆过程中,在pam模块认证的时候,加入对用户的判断,对root用户进行权力拆分,分别赋予安全管理员用户和审计用户以不同的权力,使得root权限最小化。
所述pam模块包括应用程序层、应用接口层和鉴别模块层,其中:
应用接口层位于PAM结构的中间部分,它向上为应用程序屏蔽了用户鉴别等过程的具体细节,向下则调用模块层中的具体模块所提供的特定服务。它主要由PAM API和配置文件两部分组成。
由附图1所示,可以看出pam API起着承上启下的作用,它是应用程序和认证鉴别模块之间联系的纽带和桥梁:当应用程序调用PAM API 时,应用接口层按照PAM配置文件的定义来加载相应的认证鉴别模块。然后把请求(即从应用程序那里得到的参数)传递给底层的认证鉴别模块,这时认证鉴别模块就可以根据要求执行具体的认证鉴别操作了。当认证鉴别模块执行完相应的操作后,再将结果返回给应用接口层,然后由接口层根据配置的具体情况将来自认证鉴别模块的应答返回给应用程序。
其中所说的模块层处于整个PAM体系结构中的最底层,它向上为接口层提供用户认证鉴别等服务。也就是说所有具体的认证鉴别工作都是由该层的模块来完成的。对于应用程序,有些不但需要验证用户的口令,还可能要求验证用户的帐户是否已经过期。所以PAM在模块层除了提供鉴别模块外,同时也提供了支持帐户管理、会话管理以及口令管理功能的模块。
其中所说的认证鉴别服务可以实现对root用户的权力拆分,通过在会话类接口中加入用户权力设置函数,对root所拥有的权利进行重新设置,并对安全管理员用户和审计用户赋予新的权利,在用户login或是ssh远程登陆时进行认证,此认证过程可以编写成为一个独立的pam模块,通过在配置文件中的会话选项上指定此pam模块即可实现分权。
其中所说的配置文件主要包括两种,一种是用户与权利对应的配置文件,此配置文件主要用于在为用户赋予权利时使用,通过读取此配置文件可以明确不同用户应赋予的权利,并可以修改某一用户的权力集;另一种pam模块的配置文件,需要在此配置文件中指定需要认证的服务,及认证时所用到的pam模块名。
实施例,为了实现上述过程,需要编译生成pam分权模块以实现root账户权力分离。
首先在pam会话接口中加入权利获取及设置函数,对不同的用户进行权利设置,编译生成.so共享库。
其次,编写配置文件,指明不同用户应赋予的权利,在进行pam认证时供pam接口读取使用,格式为:用户名;权利1,权利2...权利n;之后修改pam配置文件修改认证方法,指定使用上方所述的.so共享库。
最后,通过login或是ssh登陆***,输入不同的用户名,便会自动为不同的用户赋予不同的权利,最终实现分权。
以上所述仅为本发明的实施例而已,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种基于pam模块的***分权的方法,其特征在于包括以下三个部分:
特权用户,为***设定三个管理类账户,root用户:一般的管理工作;安全管理员用户:为***其它用户或进程设置权力;审计用户:审计方面工作;
分权模块,对root用户进行拆分,并通过权利设置函数为root用户及另外两个特权用户设置***权限,实现root用户的权利拆分;
用户权利配置文件,指明上述三个特权用户应具有的最小权利集,在可插拔认证的pam模块认证时供权利设置函数读取,并且指明pam认证时所使用的pam模块以进行权利拆分;
在用户本地登陆或远程登陆过程中,在pam模块认证的时候,加入对用户的判断,对root用户进行权力拆分,分别赋予安全管理员用户和审计用户以不同的权力,使得root权限最小化。
2.根据权利要求1所述的一种基于pam模块的***分权的方法,其特征在于:所述pam模块包括应用程序层、应用接口层和鉴别模块层,其中鉴别模块层处于整个PAM结构的最底层,它向上为应用接口层提供用户认证鉴别服务;应用接口层位于PAM结构的中间部分,它向上为应用程序屏蔽用户鉴别过程的具体细节,向下则调用模块层中的具体模块所提供的特定服务,它主要由PAM API和配置文件两部分组成,其中pam API实现鉴别过程:
当应用程序调用PAM API 时,应用接口层按照PAM配置文件的定义来加载相应的认证鉴别模块,然后把请求传递给底层的认证鉴别模块,认证鉴别模块根据要求执行具体的认证鉴别操作;
当认证鉴别模块执行完相应的操作后,再将结果返回给应用接口层,然后由接口层根据配置的具体情况将来自认证鉴别模块的应答返回给应用程序。
3.根据权利要求2所述的一种基于pam模块的***分权的方法,其特征在于:所述鉴别模块层提供的认证鉴别服务是指:对root用户进行权力拆分,通过在会话类接口中加入用户权力设置函数,对root所拥有的权利进行重新设置。
4.根据权利要求2所述的一种基于pam模块的***分权的方法,其特征在于:所述应用接口层中的配置文件包括两种:一种是用户与权利对应的配置文件,此配置文件用于在为用户赋予权利时使用,通过读取此配置文件可以明确不同用户应赋予的权利,并可以修改某一用户的权力集;另一种pam模块的配置文件,需要在此配置文件中指定需要认证的服务,及认证时所用到的pam模块名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410011839.5A CN103745157A (zh) | 2014-01-11 | 2014-01-11 | 一种基于pam模块的***分权的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410011839.5A CN103745157A (zh) | 2014-01-11 | 2014-01-11 | 一种基于pam模块的***分权的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103745157A true CN103745157A (zh) | 2014-04-23 |
Family
ID=50502174
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410011839.5A Pending CN103745157A (zh) | 2014-01-11 | 2014-01-11 | 一种基于pam模块的***分权的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103745157A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104361275A (zh) * | 2014-11-13 | 2015-02-18 | 浪潮电子信息产业股份有限公司 | 一种管理Linux***根用户登录方法 |
| CN105975831A (zh) * | 2016-05-05 | 2016-09-28 | 北京元心科技有限公司 | 一种提供统一身份识别的方法和*** |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1763710A (zh) * | 2004-10-22 | 2006-04-26 | 中国人民解放军国防科学技术大学 | 基于能力的特权最小化方法 |
| CN101051934A (zh) * | 2006-04-05 | 2007-10-10 | 大唐移动通信设备有限公司 | 在网络管理***中的权限控制方法 |
| US20130185781A1 (en) * | 2012-01-16 | 2013-07-18 | Sangfor Networks Company Limited | Method and device for realizing remote login |
-
2014
- 2014-01-11 CN CN201410011839.5A patent/CN103745157A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1763710A (zh) * | 2004-10-22 | 2006-04-26 | 中国人民解放军国防科学技术大学 | 基于能力的特权最小化方法 |
| CN101051934A (zh) * | 2006-04-05 | 2007-10-10 | 大唐移动通信设备有限公司 | 在网络管理***中的权限控制方法 |
| US20130185781A1 (en) * | 2012-01-16 | 2013-07-18 | Sangfor Networks Company Limited | Method and device for realizing remote login |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104361275A (zh) * | 2014-11-13 | 2015-02-18 | 浪潮电子信息产业股份有限公司 | 一种管理Linux***根用户登录方法 |
| CN105975831A (zh) * | 2016-05-05 | 2016-09-28 | 北京元心科技有限公司 | 一种提供统一身份识别的方法和*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112257110B (zh) | 电子签章管理方法、管理***及计算器可读存储介质 | |
| US9166966B2 (en) | Apparatus and method for handling transaction tokens | |
| CN100542092C (zh) | 分布式多级安全访问控制方法 | |
| CN102420690B (zh) | 一种工业控制***中身份与权限的融合认证方法及*** | |
| US8572686B2 (en) | Method and apparatus for object transaction session validation | |
| US20130047263A1 (en) | Method and Apparatus for Emergency Session Validation | |
| CN103152179A (zh) | 一种适用于多应用***的统一身份认证方法 | |
| US8806602B2 (en) | Apparatus and method for performing end-to-end encryption | |
| CN103532981A (zh) | 一种面向多租户的身份托管鉴权云资源访问控制***及控制方法 | |
| US8752157B2 (en) | Method and apparatus for third party session validation | |
| CN111125674B (zh) | 开放式数据处理***、开放式数据***及数据处理方法 | |
| CN105391721A (zh) | 基于云计算的统一认证管理开放*** | |
| US8572690B2 (en) | Apparatus and method for performing session validation to access confidential resources | |
| CN106815503A (zh) | 一种操作***用户权限管理方法及*** | |
| CN101635704A (zh) | 一种基于可信技术的应用安全交换平台 | |
| US8572724B2 (en) | Method and apparatus for network session validation | |
| CN102571874A (zh) | 一种分布式***中的在线审计方法及装置 | |
| CN113722722A (zh) | 一种基于区块链的高安全等级访问控制方法及*** | |
| CN103745157A (zh) | 一种基于pam模块的***分权的方法 | |
| KR20070076342A (ko) | 그리드 환경에서 사용자 그룹 역할/권한 관리 시스템 및접근 제어 방법 | |
| CN107124429B (zh) | 一种基于双数据表设计的网络业务安全保护方法及*** | |
| US8572688B2 (en) | Method and apparatus for session validation to access third party resources | |
| US8584201B2 (en) | Method and apparatus for session validation to access from uncontrolled devices | |
| CN106603535A (zh) | 基于SaaS平台的安全***构架 | |
| US8726340B2 (en) | Apparatus and method for expert decisioning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140423 |
|
| WD01 | Invention patent application deemed withdrawn after publication |