Linux入门攻坚——34、nsswitch、pam、rsyslog和loganalyzer前端展示工具

kaoa000 2024-10-16 15:33:03 阅读 73

nsswitch:network service switch

名称解析:name <---> id

认证服务:用户名、密码验证或token验证等

    名称解析和认证服务都涉及查找位置,即保存在哪里。如linux认证,passwd、shadow,是在文件中,还可能在数据库中等。名称解析中名称和对应的地址保存方式等。认证服务也可能用到名称解析服务,如Linux输入的是用户名,认证时是解析成id在认证密码。

以解析库为例,可能存储的方式:

  文件、MySQL、NIS、LDAP、DNS等

  那么一个解析程序要实现解析功能,就必须实现这几种存储方式的访问驱动,这将是很麻烦的事情。解决方法是做一个中间层——通用框架。

  做一个通用框架,通过配置文件,让这个框架灵活指定使用哪种存储。

对于一台主机中的通用框架,通常是提供一个库文件,方便各个程序使用。在前面学习自制Mini Linux时,使用dropbear用到认证时,就使用了这样的一种框架:nsswitch,提供的库是/usr/lib64/libnss3.so

然后,还能看到提供的不同的存储访问文件,如dns、file、nis、db等

所以,通用框架与各存储交互的实现是通过:

    /usr/lib64/libnss*,/lib64/libnss*

    具体是实现哪种存储访问,通过配置文件/etc/nsswitch.conf

这里,passwd、shadow、group等相当于数据库的名,后面的files等相当于实现,实现有很多种,如files,nis,dns,db等。

而实现有其默认值,如passwd的实现files,默认是/etc/passwd文件

配置文件说明:配置文件中数据库名后的实现可以有多个,使用时按顺序依次查找

    db:  store1 store2  。。。

    每种存储中查找的结果状态:STATUS => success | notfound | unavail | tryagain

    对于每种状态参数的行为:ACTION => return | continue

    示例:  host:files nis [NOTFOUND=return] dns,对主机名的解析,先从file中查找,没有找到,即状态为NOTFOUND,行为采取默认continue,就是继续找下一个存储,即nis,如果nis中也没有找到,即状态为NOTFOUND,默认是继续去找dns,这里设置了[NOTFOUND=return],就改变了nis的行为,找不到就返回了,不找了。这个写法与直接去掉后面的dns的区别是,如果nis不存在,而不是查找找不到,那么就查找后面的dns。

配置文件中services配置的是files,默认就是找/etc/services,hosts配置的files,默认找/etc/hosts,netstat命令,使用-tnl选项,不进行地址和端口的解析,使用-tl,将解析地址和端口,此时就用到了nsswitch,将地址和端口进行了解析。

可用通过命令来查找对应的数据库中的信息:getent database [netry]

pam:pluggable authentication module,插入式认证模块

pam与nsswitch类似,nsswitch是实现名称解析的通用框架,而pam是实现认证的通用框架。

认证时密码的存储方式和位置各种各样,对于实现认证的程序来说,也面临多种存储驱动的问题。

认证库:文件、MySQL、LDAP、NIS  。。。

通用框架:与各存储交互的实现,以及各种辅助性功能,如密码认证通过,但是用户是被锁定状态,也不能允许认证通过,再比如,修改密码是的复杂度不符合时的处理等。

pam所在位置:/lib64/security/

每个模块实现一种功能,实际使用中可能要配置使用多个模块,实现一种功能组合。

配置文件:/etc/pam.conf、/etc/pam.d/*.conf

通常每个应用使用一个单独的配置文件,如登录,使用/etc/pam.d/login,su使用/etc/pam.d/su

通常是一个规则栈。

配置文件中每行定义一种检查规则:

格式:type   control    module-path  module-arguments

  type:检查功能类别。

         auth:账号的认证和授权

         account:与账号管理相关的非认证功能

         password:用户修改密码时密码检查规则

         session:用户获取到服务之前或使用服务完成之后要进行的一些附加性操作

  control:同一种功能的多个检查之间如何进行组合;

    有两种实现机制:

        1、使用一个关键词来定义:如sufficient,required,requisite;

        2、使用一或多个“status=action”形式的组合表示

    简单机制:

        required:表示本模块必须返回成功才能通过认证。但是如果该模块返回失败的话,失败结果也不会立即通知用户,而是要等到同一stack中的所有模块全部执行完毕再将失败结果返回给应用程序。可以认为是一个必要条件。

        requisite:与required类似,该模块必须返回成功才能通过认证。但是一旦该模块返回失败,将不再执行同一stack内的任何模块,而是直 接将控制权返回给应用程序。是一个必要条件。

        sufficient:表明本模块返回成功已经足以通过身份认证的要求,不必再执行同一stack内的其它模块,但是如果本模块返回失败的话可以忽略。可以认为是一个充分条件。

        optional:表明本模块是可选的,它的成功与否一般不会对身份认证起关键作用,其返回值一般被忽略。

        include:调用其他的配置文件中定义的配置项。

    复杂机制:[status1=action1,status2=action2,...]

        status:返回状态,ok,。。。

        action:ok,done,die,ignore,bad,reset

    module-path:模块路径:

        /lib64/security/:此目录下的模块引用时可使用相对路径

    module-arguments:模块参数

模块:

    (1)pam_shells.so,检查是否是安全的shell。

    (2)pam_limits.so,模块通过读取配置文件完成用户对系统资源的使用控制

        /etc/security/limits.conf

        /etc/security/limits.d/*

      <domain> <type> <item> <value>

        <domain>:username、@group、*(所有用户)

        <type>:soft、hard(由root设定,通过kernel强制生效);软限制和硬限制;-:二者同时限定

        <item>:nofile-所能够同时打开的最大文件数量,nproc-所能够同时运行的最大进程数量;

            msqqueue:使用的POSIX消息队列能够占用的最大内存空间;

            sigpending:所能够使用的最大信号数量;

        <value>:

ulimit -n #:文件数量

ulimit -u #:进程数量

PAM的配置文件,有点类似网络安全配置中的ACL,只不过PAM更复杂。

对于同一种类型(type),如auth,可能有多行auth,每行的module不一样,实现的功能不一样,即多行相同的type实现了一个功能组,对于多行auth,还有一个问题是这一行认证通过或不通过以后,对后续行的操作的规定(或说影响),这就是control来规定的。

做一个简单的测试:对sshd服务,其PAM配置文件如下:

添加一个用户:设置其shell为tcsh

以此用户远程ssh登录:

可以登录成功。然后修改/etc/pam.d/sshd,在第一行添加:

auth       required     pam_shells.so

意思是使用pam_shells.so进行安全shell的验证。

然后testpam退出重新登录,依然可以登录系统:

将/etc/shells中的tcsh注释掉:

再次登录,无法登录系统,

因为testpam的shell是/bin/tcsh,而这个shell因为没有在/etc/shells中,说明是不安全的shell,而pam_shells.so就是验证是否是安全shell,因为不是了,所以,拒绝登录。

rsyslog日志

系统主要的日志类型:历史日志。(其他的还有如数据库的事务日志等)

    历史事件:记录什么样的事项,要根据日志的级别。

        日志级别:事件的关键性程度,loglevel

        日志中都记录哪些信息:时间,事件,...

系统日志服务:为各应用程序记录日志,是操作系统提供的一个公共的日志系统,为一些小的应用提供日志功能,而不需要每个应用单独编写日志功能。

    syslog:(centos5)

        syslogd:system,主要为用户空间的进程记录日志

        klogd:kernel,为内核进程记录日志

rsyslog:(centos6提供的日志功能) 也包括  syslogd和klogd:不但能为本地主机,而且能够为远程主机记录日志,集中式日志管理功能。其特点如下

    多线程:

    支持UDP,TCP,SSL,TLS,RELP等协议

    MySQL,PGSQL,Oracle实现日志存储;

    强大的过滤器,可实现过滤日志信息中任何部分;

    自定义输出格式;

elasticsearch(一个高性能分布式搜索和分析引擎,可用于日志分析),logstash(日志收集器),kibana(是为 Elasticsearch设计的开源分析和可视化平台,elasticsearch的前端)——elk

日志收集方:

  facility:设施,从功能或程序上对日志进行分类,多个应用(同一类)的日志流统一到一个统一的收集管道中,叫做facility。系统提供的facility:

    auth,authpriv,cron,daemon,kern,lpr,mail,mark,news,security,user,uucp,local0-local7,syslog

  priority:级别

    debug,info,notice,warn(warning),err(error),crit(critical),alert,emerg(panic)

    指定级别:

      *:所有级别

      none:没有级别

      priority:此级别及更高级别的日志信息

      =priority:此级别本身

配置文件中:facility.priority   /var/log/message

程序环境:

主程序:/sbin/rsyslogd

配置文件:/etc/rsyslog.conf

服务脚本:/etc/rc.d/init.d/rsyslog

系统引导时的信息记录在/var/log/dmesg中。

配置文件rsyslog.conf说明:

  RULES:facility.priority    target

  target:

    文件路径:记录于指定的日志文件中,通常在/var/log下,路径前的“-”表示异步写入;

    用户:将日志通知给指定用户,*代表所有用户

    日志服务器:@host,host必须监听在tcp或udp协议514端口上提供服务;

    管道: | COMMAND

文件记录的日志的格式:

  事件产生的日期时间   主机   进程(pid):事件内容

有些日志记录二进制格式:/var/log/wtmp,/var/log/btmp

  /var/log/wtmp:当前系统上成功登录的日志;last命令查看

  /var/log/btmp:当前系统上失败的登录尝试;lastb命令查看

lastlog命令:显示当前系统上每一个用户最近一次的登录时间;

rsyslog服务器:

  在rsyslog配置文件中,将监听打开,可以监听udp或tcp

# Provides UDP syslog reception

$ModLoad imudp

$UDPServerRun 514

# Provides TCP syslog reception

$ModLoad imtcp

$InputTCPServerRun 514

配置后,重新启动服务:

service rsyslog restart

监听端口已经启动。

这样,其他主机就可以通过这些端口向此主机发送日志信息。

测试其他主机向此主机发送信息:

先要配置其他主机的/etc/rsyslog.conf,配置某日志的target,即存储位置为此主机

日志主机:192.168.147.130,客户端:192.168.147.129,配置129上的日志配置文件

在客户端(129)上安装vsftp:yum install tree,在日志主机上:

可以看到,客户端日志信息已经开始被记录在日志主机上了。

注意:日志主机上先关闭防火墙。service iptables stop

测试将日志记录在mysql数据库中:

mysql数据库建在129上(客户端主机),日志主机(130)上需要有mysql的驱动:

安装rsyslog-mysql:yum install rsyslog-mysql,安装后查看安装的文件:rpm -ql rsyslog-mysql

主要就是一个so文件。还有一个createDB.sql,是初始化日志库的SQL语句文件

然后在mysql服务器上配置:

创建日志库的用户:

直接执行日志库的sql文件,初始化数据库:

# mysql -usyslogu -p123456 -h192.168.147.129 < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql 

至此,日志数据库的初始化完成。

日志服务器上修改配置文件,加载mysql的驱动模块,配置target:

配置后重新启动服务。

此后的日志记录到mysql数据库中:select * from SystemEvents\G;

至此,日志服务存储到文件和存储到mysql中就配置完成。

loganalyzer:下一步,就是为基于mysql的日志服务配置一个日志前端展示应用:loganalyzer

1)下载:LogAnalyzer 3.6.6 

2)安装支持环境。LogAnalyzer就是一个php的web应用,链接mysql日志库,然后以各种方式展示或查询或分类日志,对日志分析,实现就是这样的一个功能。所以需要安装httpd、php等。

yum install httpd php php-mysql php-gd

3)测试httpd、php、mysql是否运行正常

编写测试页面:/var/www/html/index.php

注意:防火墙和selinux都需要关闭。

4)解压:tar xf loganalyzer-3.6.6

将src下的内容拷贝到/var/www/html/log/下,将contrib下的文件也拷贝到/var/www/html/log/下,同时将拷贝过去的contrib下的文件(configure.sh  secure.sh),增加执行权限:

chmod +x *.sh

然后运行这两个程序:./configure.sh     ./secure.sh

5)修改配置文件权限:chmod 666 config.php

如果config.php不存在,这个命令将创建文件。

6)在浏览器上执行安装,即访问install.php

完成后,显示日志页面:

后面就是这个网站的使用了。



声明

本文内容仅代表作者观点,或转载于其他网站,本站不以此文作为商业用途
如有涉及侵权,请联系本站进行删除
转载本站原创文章,请注明来源及作者。