系统安全总结(2)用户与验证机制

在上一部分内容中，我们总结了系统在开机启动流程中所应考虑的安全内容。那么当系统启动完毕后，我们需要做的第一件事情是什么呢？答案很明显，登录系统！

登录系统就需要使用用户和密码，那么我们就要考虑用户究竟是什么？为什么需要用户？用户具有哪些特性？用户是怎么使用密码登录到系统的？这些问题的答案将在本部分中给出。

谈到用户，很容易明白，用户就是计算机的使用者。但是出于安全的角度的考虑，一个用户究会使用什么系统资源，又会怎样使用系统资源，这是系统管理员需要了解的事情。

那么好吧，从头开始，我们还是从用户登录到系统这个过程说起吧。

第六章用户登录流程

系统完成启动后，会给出一个“login：”的提示符，来等待用户的登录。用户通过输入用户名与密码进行验证以登录到操作系统上。

这个验证的动作其实是由第三方软件PAM的一个login模块所实现的，login模块根据PAM的配置文件以及模块的设置，通过检查是否存在/etc/nologin文件，比对/etc/passwd用户名与/etc/shadow文件中的密码信息，检验用户是是否存在并可登录，用户的密码是否有效并且未过期。若通过这些验证，则用户就可以登录到系统中了用户通过验证后，可以看到提示符变为~，表示用户进入了家目录，这是我们所看到的事情。那么用户进入家目录后又做了什么呢？

当用户成功通过验证并进入到用户家目录后，会首先运行家目录中的.bash_profile

脚本。在这个脚本中可以看到以下内容:

可以看到，在这个脚本中又执行了~/.bashrc文件，打开~/.bashrc

好吧，打开/etc/bashrc看一看里面的内容。

99002

022

现在我们知道了，用户登录后所执行的有这些：

首先用户登录家目录，运行.bash_profile，之后跳转到.bashrc，再跳转到/etc/bashrc脚本，再跳到/etc/profile.d/目录中运行所有脚本，最后回到.bash_profile运行该脚本下面的内容。

章节总结：

可以看到，这些脚本都是先于用户操作的操作，是用以生成用户的系统环境的。所以在登录系统后，首先要关注这些文件是否嵌入了恶意的代码。但是为什么需要使用用户，我们将在下一章的内容中进行介绍。

第七章用户和组

首先，我们来回答在这部分开头提出的一个问题，也就是为什么需要用户的存在。其实这个问题的答案很简单，用户的存在，其实就是为了控制程序运行的权限范围的需要！

用户

那么对于系统来讲，用户究竟在怎么其着他的作用呢？

在系统中识别用户，以uid为识别标识。每个用户和唯一的正整数关联叫做用户的ID(uid)。每一个进程与一个用户ID关联，用来识别运行这个进程的用户。运行程序的用户，其程序的权限为其用户的权限。可以查看/etc/login.defs文件，其中指定了生成用户的相关设置信息。

进程中用户的属性

我们知道，系统中每个进程都有着自己的用户。其实每一个进程都具有四个用户属性，分别为：

真实UID(real uid)：

启动进程的用户

有效UID(effective uid)：

用fork()函数指定的进程运行用户 ps –ef 查看的结果是显示有效uid。当使用apache时，是使用root权限启动的，但其fork()出普通权限的用户，创建子进程，赋值相应关系给apache用户。fork()只能由高权限派生低权限。

保留UID：

在进程运行时保存原有效UID，用以在多个有效UID间切换

文件系统UID ：

相应进程在对文件操作时所使用的用户

知道了用户的作用，那么我们再来看一看与用户息息相关的内容：组！

组

一个用户可以属于多个组，其中分为基本组（默认组、登录组），写作g；候选组（其他组），写作G。组可以给多个用户赋予相同的权限，用户可以在自己的默认组（gid）和候选组（groups）中进行切换。

当用户对文件进行操作时，首先比对用户的uid是否为该文件的uid，然后再比对用户的默认组(gid)是否为文件的gid（若为非，则将候选组依次调出逐一比对），在程序运行过程中，进程中的组为替换的默认组。

所以说，组所扮演的角色与用户大同小异，本质上也是为了限制对系统操作权限的。只不过一个组中可以具有多个用户，这些用户继承了该组所有的权限。

用户在系统中的应用

其实用户的生效并非在login提示符出现的时候才开始的，而是在加载initrd之后，由rc.sysinit就开始应用用户的设定了。

所以说，用户依操作范围不同，可以分为用系统用户、服务进程用户与服务内建用户。

章节总结：

知道了什么是用户，并且也知道了用户的分类，那么如何设定一个程序的验证机制呢？如果想让一个程序的用户验证由系统用户改变为服务内建用户，又如何实现呢？这些内容可以通过一个强大的第三方程序PAM来实现。

第八章 PAM的结构与应用

之前提到了Linux系统在用户登录时需要进行验证，而验证时使用的程序就是PAM，那么PAM究竟是个什么东西呢？

pam的全名为“可插入式安全验证模块”，作为第三方软件来判断用户与密码。

PAM的结构

了解一个程序的最简单方法就是分析法，这里根据PAM的结构，将其分为了三个部分进行了解。

最底层：

pam的应用程序，支持pam的应用程序，看软件的程序链接，是否调用libpass_pam 第二层：

pam的api，由pam的api接口和pam的配置文件（/etc/pam.d/中，UNIX中为4列，描述所使用的程序；LINUX中为三列，每个程序单独一个配置文件）所组成。可以使用ldd /bin/xx来查看应用程序所调用的动态链接库（程序是否调用libpam.so），