登录认证

密码认证

• 在Linux上，用户密码的认证是通过密码哈希和阴影密码（shadow password）机制实现的。以下是密码认证的基本过程：

• 用户在创建过程中设置密码，或者通过密码更改命令修改密码。用户密码会被转换成一个密码哈希值，通常使用密码哈希算法（如MD5、SHA256等）对密码进行单向哈希。

• 用户的密码哈希值将存储在/etc/shadow文件中，而不是/etc/passwd文件中。这是为了增加密码的安全性，防止未经授权的用户访问密码哈希。

• 当用户尝试登录时，系统会验证用户提供的密码。

• 系统会从/etc/shadow文件中获取用户的密码哈希值，并将用户提供的密码使用相同的哈希算法进行哈希。

• 如果计算得到的哈希值与/etc/shadow中存储的哈希值匹配，系统认为密码验证成功，用户可以登录。

• 这种密码认证机制的优点是，用户的密码不会以明文形式存储，而是以哈希值的形式存储。这增加了密码的安全性，即使/etc/shadow文件被未经授权的用户访问，也无法直接获取用户的密码。同时，哈希算法的单向性也保证了密码的机密性。

私钥认证

• 在Linux上创建的用户，私钥认证是通过使用SSH（Secure Shell）进行身份验证的。SSH是一种加密的网络协议，用于安全地远程连接到Linux系统。
• 当用户创建一个新的SSH密钥对时，通常会生成一个公钥和一个私钥。私钥保存在用户的本地计算机上，而公钥则被复制到远程服务器上。
• 当用户尝试通过SSH连接到远程服务器时，SSH客户端会向服务器发送私钥进行身份验证。服务器将使用用户的公钥与发送的私钥进行比较。如果两者匹配，用户将被授予访问权限。
• 私钥在本地计算机上存储，并受到严格的权限控制。通常情况下，私钥文件只能由用户本人读取和写入，其他用户无法访问。这确保了私钥的保密性和安全性。
• 在SSH连接过程中，私钥认证是一种更安全和便捷的身份验证方法，相对于传统的用户名和密码认证。私钥具有更高的复杂性和安全性，因此被广泛用于远程服务器的身份验证。

PAM认证

• 在Linux上，PAM（Pluggable Authentication Modules，可插拔式认证模块）是一种用于进行用户认证的框架。它允许系统管理员通过配置不同的认证模块来实现灵活的用户认证策略。 当用户尝试进行登录或执行需要认证的操作时，PAM会协调和处理认证过程。以下是PAM认证的基本流程：
  • 用户提交认证请求：用户通过登录界面或命令行输入用户名和密码，或执行需要认证的操作。
  • PAM模块加载：系统根据配置加载相应的PAM模块。PAM模块位于/etc/pam.d目录下，每个模块都对应特定的认证任务，例如密码验证、账户验证等。
  • PAM模块顺序执行：PAM按照指定的顺序依次执行加载的模块。每个模块负责特定的认证任务，并返回认证结果。
  • 模块认证过程：每个PAM模块在认证过程中执行一系列操作，例如密码比对、账户状态检查、访问控制等。模块可以与系统的用户数据库（如/etc/passwd和/etc/shadow）进行交互，或与外部认证服务（如LDAP、Kerberos等）通信。
  • 模块返回认证结果：每个模块在完成认证操作后返回认证结果，表示认证成功、失败或需要进一步验证。
  • PAM整体认证结果：PAM根据所有加载的模块的认证结果来确定最终的认证结果。根据配置，可以定义不同的认证策略，如只需一个模块成功认证、所有模块都成功认证等。
  • 用户登录或操作授权：如果认证成功，用户将被授权登录系统或执行需要认证的操作。如果认证失败，则用户将被拒绝访问。
• 通过配置PAM模块，系统管理员可以灵活地定义认证策略和要求，包括密码复杂性要求、账户锁定策略、双因素认证等。PAM框架提供了高度可定制和可扩展的认证机制，使得用户认证在Linux系统中更加灵活和安全。