PAM-access模块IP认证函数开发

最新推荐文章于 2023-09-06 20:28:20 发布
原创 最新推荐文章于 2023-09-06 20:28:20 发布 · 442 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#嵌入式 #c语言 #linux #安全

pam_access认证模块 :该模块提供基于username、hostname、ip address以及tty的访问控制。默认该模块的配置文件是/etc/security/access.conf。

这里介绍IP地址匹配函数的开发代码

//isipaddr-查明所提供的字符串是否为IP地址
static int isipaddr(const char *string,int *addr_type,struct sockaddr_storage *addr)
{
  struct sockaddr_storage local_addr;
  int is_ip;
  //我们使用struct sockaddr_storage addr,因为struct in_addr/in6_addr是struct sockaddr不可分割的一部分,我们不想使用它的值
  if(addr == NULL)
  addr = &local_addr;
  memest(addr, 0, sizeof(struct socker_storage));
  //ipv4
  if(inet_pton(AF_INET,string,addr) > 0)
  {
    if(addr_type != NULL)
    *addr_type = AF_INET;
    is_ip = YES;
  }
  //ipv6
  else if(inet_pton(AF_INET6,string,addr) > 0)
  {
    if(addr_type != NULL)
    *addr_type = AF_INET6;
    is_ip = YES;
  }
  else
    is_ip = 0;
  return is_ip;
}
//are_addresses_equal-将IP地址字符串转换为实际IP地址,并对它们进行比较,以确定它们是否相等。如果提供了网络掩码,它将用于将比较聚焦到相关位。
static int are_addresses_equal(const char *ipaddr0, const char *ipaddr1, const char *netmask)
{
  struct sockaddr_storage addr0;
  struct sockaddr_storage addr1;
  int addr_type0 = 0;
  int addr_type1 = 0;

  if(isipaddr(ipaddr0, &addr_type, &addr0) == NO)
    return NO;
  
  if(isipaddr(ipaddr1, &addr_type, &addr1) == NO)
    return NO;
  
  if(addr_type0 != addr_type1)  //不同的地址类别
    return NO;
  
  if(netmask != NULL) //得到了网掩码,说明地址正常
  {
    struct sockaddr_storage nmask;
    unsigned char *byte_a, *byte_nm;
    
    memset(&nmask, 0, sizeof(struct sockaddr_storage));
    if(inet_pton(addr_type0, netmask, (void *)&nmask) > 0)
    {
      unsigned int i;
      byte_a = (unsigned char *)(&addr0);
      byte_nm = (unsigned char *)(&nmask);
      for(i=0;i<sizeof(struct sockaddr_storage);i++){
        byte_a[i] = byte_a[i] & byte_nm[i];
      }
      byte_a = (unsigned char *)(&addr1);
      byte_nm = (unsigned char *)(&nmask);
      for(i=0;i<sizeof(struct sockaddr_storage);i++){
        byte_a[i] = byte_a[i] & byte_nm[i];
      }
    }
  }

  //判断两个地址是否相等
  if(memcmp((void *)&addr0,(void *)&addr1,sizeof(struct sockaddr_storage)) == 0)
  {
    return YES;
  }
  return NO;
}

static char *number_to_netmask(long netmask, int addr_type,char *ipaddr_buf, size_t ipaddr_buf_len)
{
  //我们使用struct sockaddr_storage addr,因为struct in_addr/in6_addr是struct sockaddr不可分割的一部分,我们不想使用它的值
  struct sockaddr_storage nmask;
  unsigned char *byte_nm;
  const char *ipaddr_dst = NULL;
  int i,ip_bytes;

  if(netmask = 0) //mask为0等同于没有
  {
    return(NULL);
  }
  memset(&nmask, 0, sizeof(struct sockaddr_storage));
  if(addr_type == AF_INET6)
  {  //ipv6掩码地址
    ip_bytes = 16;
  }
  else
  {  //默认可能是ipv4地址掩码
    addr_type = AF_INET;
    ip_bytes = 4;
  }

  byte_nm = (unsigned char *)(&nmask);
  //将数字转换为掩码
  for(i=0;i<ip_bytes;i++)
  {
   if(netmask >= 8)
   {
     byte_nm[i] = 0xff;
     netmask -= 8;
   }
   else if(netmask > 0)
   {
     byte_nm[i] = 0xff << (8 - netmask);
     break;
   }
   else if(netmask <= 0){
     break;
   }
  }
  //现在生成网络掩码地址字符串
  ipaddr_dst = inet_ntop(addr_type, &nmask, ipaddr_buf, ipaddr_buf_len);
  if(ipaddr_dst == ipaddr_buf){
    return(ipaddr_buf);
  }
  return(NULL);
}

//network_netmask_match-将字符串与一个令牌匹配,其中字符串是主机名或ip地址,tok表示单个ip地址或网络
static int network_netmask_match(pam_handle_t *pamh,const char *tok,const char *string,struct login_info *item)
{
    char *netmask_ptr;
    char netmask_string[MAXHOSTNAMELEN + 1];
    int addr_type;

    if(item->debug)
    pam_syslog(pamh,LOG_DEBUG,"network_netmask_match: tok=%s,item=%s",tok,string);
    
    //检查tok是否是地址类型
    if(netmask_ptr = strchr(tok,'/') != NULL)    
      {
        long netmask = 0;
        //YES
        *netmask_ptr = 0;  
        netmask_ptr++;
        
        if(isipaddr(tok,&addr_type,NULL) == NO)
        {
          return NO;   //没有网址
        }
        
        //检查网络掩码
        if(isipaddr(netmask_ptr,NULL,NULL) == N0)  
        {  //网络掩码作为整数值
          char *endptr = NULL;
          netmask = strtol(netmask_ptr,&endptr,0);  
          if((endptr == NULL)||(*endptr !='\0'))
          {   //无效的网络掩码值
            return NO; 
          }
          if((netmask < 0)||(netmask >= 128))
          {   //网络掩码值超出范围
            return NO;
          }

          netmask_ptr = number_to_netmask(netmask, addr_type, netmask_string, MAXHOSTNAMELEN);
        }
      }
      else  
        //然后检查它是否只是一个地址
        if(isipaddr(tok, NULL, NULL) != YES)
        {
          return NO;
        }
        if(isipaddr(string,NULL,NULL) != YES)
        {
          //假设他们都有一个主机名
          struct addrinfo hint;
          memset(&hint, '\0', sizeof(hint));
          hint.ai_flags = AI_CANONNAME;
          hint.ai_family = AI_UNSPEC;

          if(item->gai_rv != 0)
            return NO;
          else if(!item->res &&(item->gai_rv = getaddrinfo(string, NULL, &hint, &item->res)) != 0)
            return NO;
          else
            {
              struct addrinfo *runp = item->res;
              while(runp != NULL)
                {
                  char buf[INET6_ADDRSTRLEN];
                  inet_ntop(runp->ai_family, run->ai_family == AF_INET?(void *)&((struct sockaddr_in *)runp->ai_addr)->sin_addr:(void *)&((struct sockaddr_in6 *)runp->ai_addr)->sin6_addr,buf,sizeof(buf));
                  
                  if(are_addresses_equal(buf,tok,netmask_ptr))
                  {
                    return YES;
                  }
                  rump = runp->ai_next;
                }
            }
        }
        else
          return(are_addresses_equal(string,tok,netmask_ptr));
      return NO;
}
【0180】PG内核通过pg_hba.conf完成客户端认证(1)
Postgres 数据库内核开发工程师
03-28 1037
本文重点讲解PG内核如何完成pg_hba.conf配置文件的读取、同步内存上下文,和与postgres后端进程之间的认证交互过程。
pam_access.so
weixin_33911824的博客
11-26 311
OS version:Red Hat Enterprise Linux Server release 6.4Kernel version:2.6.32-358.el6.x86_64-------------------------------------------------------------------------准备工作:[root@Zhai ~]# mkdir ...
PAM-access模块开发思路
mvpchenxin的博客
04-11 208
PAM-access模块开发
Linux-PAM认证模块
qq_55914897的博客
09-06 870
pam_unix验证模块与auth验证类型一起使用时,此模块可以使用的选项有debug、audit、use_first_pass、 try_first_pass、nullok和nodelay,主要功能是验证用户密码的有效性,在缺省情况下(即不带任何参数时),该模块的主要功能是 禁止密码为空的用户提供服务;在/etc/pam.d/下的文件中,与服务名称相对应的文件,为该服务的pam验证文件,例如服务为sshd,则在/etc/pam.d下存在 sshd这个文件,里面包含sshd验证规则。
pam_access的使用(二)
weixin_34268610的博客
06-08 314
pam_access的使用说明:pam_access 提供logdaemon风格的登录控制[root@station203 pam.d]# uname -aLinux station203.example.com 2.6.18-53.el5 #1 SMP Wed Oct 10 16:34:02 EDT 2007 i...
PAM exec模块监控服务器ECS登录用户及IP,触发登录后,发送至钉钉
weixin_45112997的博客
11-22 1069
PAM模块exec 监控服务器ECS登录用户及IP,触发登录后,发送至钉钉
Linux系统的PAM模块认证文件含义说明总结
久伴你逍遥风的博客
05-24 5640
Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 一、PAM模块介绍 Linux-P...
Linux PAM认证模块深度解析:构建安全的用户认证体系
![Linux PAM认证模块深度解析:构建安全的用户认证体系]...PAM的灵活性来自于其模块化设计,允许管理员根据安全需求对认证策略进行微调,而不必改变底
安全与加密】TCP-Wrapper与PAM模块
FlamencaH的博客
06-02 410
TCP-Wrapper TCP wrappers 通常被称为 wrappers,它是由 Wieste Venema 编写,已经出现几年了。其背后的思想很简单,其要旨是可以在 (UNIX/Linux) 主机上快速轻松地锁定流行的通过 TCP 访问的客户端。 Wrappers 允许系统管理员控制 wrappers 支持的基于 TCP 的服务或守护进程的访问。Tcpd 控制从 /etc/inetd.conf 中运行的 TCP 守护进程。不过,很多基于 TCP 的应用程序已加入 wrappers 支持(一般使用 l
pam mysql auth where= and_vsftp通过pam集成mysql身份验证
weixin_39785150的博客
02-03 306
1 前言需要解决由FTP上传的文件自动以某个应用程序的身份保存的唯一方式是使用VSFTP的虚拟用户,由于笔者对MySQL比较熟悉,所以利用PAM_MySQL模块将VSFTP与MySQL集成。另外,本文不但整理了CentOS6与CentOS7的安装配置方法,而且同时涵盖了RPM包与编译两种安装方法。2 理论基础2.1 PAM模块的介绍所谓虚拟用户,即通过pam模块将vsftp与数据库集成,将vsft...
安全PAM认证
tangshiweibbs的专栏
05-02 3554
PAM 身份认证 资源限制 (Cgroup为更高级的资源限制手段) =================================================================================    PAM(Pluggable Authentication Modules)即可插拔式认证模块,它是一种高效而且灵活的用户级别的认证方式,它也
centos pam mysql_在Centos7上使用vsftpd+pam_mysql实现虚拟用户认证
weixin_30978959的博客
01-18 174
>GRANTALL ON vsftpd.* TO ‘vsftpd‘@‘localhost‘ IDENTIFIED BY ‘centos‘;MariaDB [vsftpd]>GRANTALL ON vsftpd.* TO ‘vsftpd‘@‘127.0.0.1‘ IDENTIFIED BY ‘centos‘;MariaDB [vsftpd]>FLUSHPRIVILEGES;重...
编写基于PAM认证的应用程序
雩停
03-03 416
实验要求 使用Linux下的用户名及其密码实现对该程序的认证(提示:只需完成应用程序的编写与认证策略的设定) 该用户认证完成后,重新设置改用户的密码 实验代码 实验过程 以root身份编写配置文件/etc/pam.d/mytest,添加内容如下 编译程序:gcc –o mytest mytest.c -lpam -lpam_misc -ldl 新建用户,用户名设为gao 运行程序 ./my...
_一文搞懂PAMlinux访问控制原理
weixin_39606177的博客
10-21 870
pam是如何做linux的访问控制?您知道吗。1.虚拟终端我们知道linux是一个多用户多任务类型的操作系统。在linux中的登录终端通常是虚拟终端,除了虚拟终端之外,还有伪终端,串联终端以及设备终端等等,终端清单在/etc/securetty中呈现。在此文件中不难发现linux系统为我们提供的12种虚拟终端,但是我们默认能访问的只有6个终端?这是因为虚拟终端的开放是受/etc/systemd/l...
常见的PAM认证模块
weixin_34342207的博客
07-13 776
概述: 本文介绍常见的PAM认证模块,包括每一个模块的所属类型、功能描述以及可识别的参数,有配置文件的,我们给出了配置文件的简单说明,其中一部分模块,我们还给出了配置实例。希望通过我们的介绍,使读者对常用的PAM认证模块有一定的了解。本文的介绍是基于RedHat7.x系统。水平有限,不足之处请读者批评指正。 1.pam_access认证模块 所属类型:account...
linux 限制用户登录
weixin_34261739的博客
01-05 975
vim /etc/pam.d/sshd 增加 account required pam_access.so 或者增加auth required pam_access.so两个都试试 vim /etc/security/access.conf + : temp : 211.100.99.224- : temp : ALLservice sshd re...
Linux-PAM简介
thinker
11-06 1492
Linux-PAM简介 注: PAM的implementation在不同的*Nix系统上稍有不同,这里我以RedHat Enterprise Linux 4为蓝本。如果你系统的PAM配置有不同,请安实际情况配置。 Linux-PAM(Pluggable Authentication Modules). 有人翻译成“可插拔式认证模块”, 或是“可插入式认证模块. 它表示一种性能健硕而且灵
通过PAM限制普通用户绕过torque提交任务到计算节点
云计算?
10-07 509
在川大物理学院实施集群时,发现部分用户绕过torque,从管理节点上通过SSH登陆到计算节点,直接运行程序,占用系统资源的现象。该现象严重影响了集群的正常运行。本文提供两个方法来应对这个现象。 方法一: 实现效果:当用户A在计算节点node1上有作业(由torque+maui.d分配的PBS任务)时,可以SSH到node1。当A在node1上无作业时,无法SSH登陆到node1。 1...
PAM来增强LINUX服务器的安全(一)
weixin_33794672的博客
06-05 460
服务器的系统安全确实是一件让大多数用户头痛的事情:如何确保系统中使用应用程序或服务的用户确是用户本人?如何给这些用户指定限制访问服务的时间段?以及如何限制各种应用程序或服务对系统资源的使用率等等?所有的这些问题,常规的安全措施并不能妥善地解决。在使用Linux内核的RedHat企业Linux3中,已经集成了一种叫做可插入式认证模块(Pluggable Authentication Modules)...
pam-mysql模块实现基于MySQL的统一认证工具
pam-MySQL模块是基于PAM(Pluggable Authentication Modules,可插拔认证模块)体系结构的一个实现,它允许系统管理员通过一个MySQL数据库来统一管理用户认证信息。PAM是由Sun Microsystems开发的一种机制,用于在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值