Linux入门攻坚——34、nsswitch、pam、rsyslog和loganalyzer前端展示工具
kaoa000 2024-10-16 15:33:03 阅读 73
nsswitch:network service switch
名称解析:name <---> id
认证服务:用户名、密码验证或token验证等
名称解析和认证服务都涉及查找位置,即保存在哪里。如linux认证,passwd、shadow,是在文件中,还可能在数据库中等。名称解析中名称和对应的地址保存方式等。认证服务也可能用到名称解析服务,如Linux输入的是用户名,认证时是解析成id在认证密码。
以解析库为例,可能存储的方式:
文件、MySQL、NIS、LDAP、DNS等
那么一个解析程序要实现解析功能,就必须实现这几种存储方式的访问驱动,这将是很麻烦的事情。解决方法是做一个中间层——通用框架。
做一个通用框架,通过配置文件,让这个框架灵活指定使用哪种存储。
对于一台主机中的通用框架,通常是提供一个库文件,方便各个程序使用。在前面学习自制Mini Linux时,使用dropbear用到认证时,就使用了这样的一种框架:nsswitch,提供的库是/usr/lib64/libnss3.so
然后,还能看到提供的不同的存储访问文件,如dns、file、nis、db等
所以,通用框架与各存储交互的实现是通过:
/usr/lib64/libnss*,/lib64/libnss*
具体是实现哪种存储访问,通过配置文件/etc/nsswitch.conf
这里,passwd、shadow、group等相当于数据库的名,后面的files等相当于实现,实现有很多种,如files,nis,dns,db等。
而实现有其默认值,如passwd的实现files,默认是/etc/passwd文件等
配置文件说明:配置文件中数据库名后的实现可以有多个,使用时按顺序依次查找
db: store1 store2 。。。
每种存储中查找的结果状态:STATUS => success | notfound | unavail | tryagain
对于每种状态参数的行为:ACTION => return | continue
示例: host:files nis [NOTFOUND=return] dns,对主机名的解析,先从file中查找,没有找到,即状态为NOTFOUND,行为采取默认continue,就是继续找下一个存储,即nis,如果nis中也没有找到,即状态为NOTFOUND,默认是继续去找dns,这里设置了[NOTFOUND=return],就改变了nis的行为,找不到就返回了,不找了。这个写法与直接去掉后面的dns的区别是,如果nis不存在,而不是查找找不到,那么就查找后面的dns。
配置文件中services配置的是files,默认就是找/etc/services,hosts配置的files,默认找/etc/hosts,netstat命令,使用-tnl选项,不进行地址和端口的解析,使用-tl,将解析地址和端口,此时就用到了nsswitch,将地址和端口进行了解析。
可用通过命令来查找对应的数据库中的信息:getent database [netry]
pam:pluggable authentication module,插入式认证模块
pam与nsswitch类似,nsswitch是实现名称解析的通用框架,而pam是实现认证的通用框架。
认证时密码的存储方式和位置各种各样,对于实现认证的程序来说,也面临多种存储驱动的问题。
认证库:文件、MySQL、LDAP、NIS 。。。
通用框架:与各存储交互的实现,以及各种辅助性功能,如密码认证通过,但是用户是被锁定状态,也不能允许认证通过,再比如,修改密码是的复杂度不符合时的处理等。
pam所在位置:/lib64/security/
每个模块实现一种功能,实际使用中可能要配置使用多个模块,实现一种功能组合。
配置文件:/etc/pam.conf、/etc/pam.d/*.conf
通常每个应用使用一个单独的配置文件,如登录,使用/etc/pam.d/login,su使用/etc/pam.d/su
通常是一个规则栈。
配置文件中每行定义一种检查规则:
格式:type control module-path module-arguments
type:检查功能类别。
auth:账号的认证和授权
account:与账号管理相关的非认证功能
password:用户修改密码时密码检查规则
session:用户获取到服务之前或使用服务完成之后要进行的一些附加性操作
control:同一种功能的多个检查之间如何进行组合;
有两种实现机制:
1、使用一个关键词来定义:如sufficient,required,requisite;
2、使用一或多个“status=action”形式的组合表示
简单机制:
required:表示本模块必须返回成功才能通过认证。但是如果该模块返回失败的话,失败结果也不会立即通知用户,而是要等到同一stack中的所有模块全部执行完毕再将失败结果返回给应用程序。可以认为是一个必要条件。
requisite:与required类似,该模块必须返回成功才能通过认证。但是一旦该模块返回失败,将不再执行同一stack内的任何模块,而是直 接将控制权返回给应用程序。是一个必要条件。
sufficient:表明本模块返回成功已经足以通过身份认证的要求,不必再执行同一stack内的其它模块,但是如果本模块返回失败的话可以忽略。可以认为是一个充分条件。
optional:表明本模块是可选的,它的成功与否一般不会对身份认证起关键作用,其返回值一般被忽略。
include:调用其他的配置文件中定义的配置项。
复杂机制:[status1=action1,status2=action2,...]
status:返回状态,ok,。。。
action:ok,done,die,ignore,bad,reset
module-path:模块路径:
/lib64/security/:此目录下的模块引用时可使用相对路径
module-arguments:模块参数
模块:
(1)pam_shells.so,检查是否是安全的shell。
(2)pam_limits.so,模块通过读取配置文件完成用户对系统资源的使用控制
/etc/security/limits.conf
/etc/security/limits.d/*
<domain> <type> <item> <value>
<domain>:username、@group、*(所有用户)
<type>:soft、hard(由root设定,通过kernel强制生效);软限制和硬限制;-:二者同时限定
<item>:nofile-所能够同时打开的最大文件数量,nproc-所能够同时运行的最大进程数量;
msqqueue:使用的POSIX消息队列能够占用的最大内存空间;
sigpending:所能够使用的最大信号数量;
<value>:
ulimit -n #:文件数量
ulimit -u #:进程数量
PAM的配置文件,有点类似网络安全配置中的ACL,只不过PAM更复杂。
对于同一种类型(type),如auth,可能有多行auth,每行的module不一样,实现的功能不一样,即多行相同的type实现了一个功能组,对于多行auth,还有一个问题是这一行认证通过或不通过以后,对后续行的操作的规定(或说影响),这就是control来规定的。
做一个简单的测试:对sshd服务,其PAM配置文件如下:
添加一个用户:设置其shell为tcsh
以此用户远程ssh登录:
可以登录成功。然后修改/etc/pam.d/sshd,在第一行添加:
auth required pam_shells.so
意思是使用pam_shells.so进行安全shell的验证。
然后testpam退出重新登录,依然可以登录系统:
将/etc/shells中的tcsh注释掉:
再次登录,无法登录系统,
因为testpam的shell是/bin/tcsh,而这个shell因为没有在/etc/shells中,说明是不安全的shell,而pam_shells.so就是验证是否是安全shell,因为不是了,所以,拒绝登录。
rsyslog:日志
系统主要的日志类型:历史日志。(其他的还有如数据库的事务日志等)
历史事件:记录什么样的事项,要根据日志的级别。
日志级别:事件的关键性程度,loglevel
日志中都记录哪些信息:时间,事件,...
系统日志服务:为各应用程序记录日志,是操作系统提供的一个公共的日志系统,为一些小的应用提供日志功能,而不需要每个应用单独编写日志功能。
syslog:(centos5)
syslogd:system,主要为用户空间的进程记录日志
klogd:kernel,为内核进程记录日志
rsyslog:(centos6提供的日志功能) 也包括 syslogd和klogd:不但能为本地主机,而且能够为远程主机记录日志,集中式日志管理功能。其特点如下
多线程:
支持UDP,TCP,SSL,TLS,RELP等协议
MySQL,PGSQL,Oracle实现日志存储;
强大的过滤器,可实现过滤日志信息中任何部分;
自定义输出格式;
elasticsearch(一个高性能分布式搜索和分析引擎,可用于日志分析),logstash(日志收集器),kibana(是为 Elasticsearch设计的开源分析和可视化平台,elasticsearch的前端)——elk
日志收集方:
facility:设施,从功能或程序上对日志进行分类,多个应用(同一类)的日志流统一到一个统一的收集管道中,叫做facility。系统提供的facility:
auth,authpriv,cron,daemon,kern,lpr,mail,mark,news,security,user,uucp,local0-local7,syslog
priority:级别
debug,info,notice,warn(warning),err(error),crit(critical),alert,emerg(panic)
指定级别:
*:所有级别
none:没有级别
priority:此级别及更高级别的日志信息
=priority:此级别本身
配置文件中:facility.priority /var/log/message
程序环境:
主程序:/sbin/rsyslogd
配置文件:/etc/rsyslog.conf
服务脚本:/etc/rc.d/init.d/rsyslog
系统引导时的信息记录在/var/log/dmesg中。
配置文件rsyslog.conf说明:
RULES:facility.priority target
target:
文件路径:记录于指定的日志文件中,通常在/var/log下,路径前的“-”表示异步写入;
用户:将日志通知给指定用户,*代表所有用户
日志服务器:@host,host必须监听在tcp或udp协议514端口上提供服务;
管道: | COMMAND
文件记录的日志的格式:
事件产生的日期时间 主机 进程(pid):事件内容
有些日志记录二进制格式:/var/log/wtmp,/var/log/btmp
/var/log/wtmp:当前系统上成功登录的日志;last命令查看
/var/log/btmp:当前系统上失败的登录尝试;lastb命令查看
lastlog命令:显示当前系统上每一个用户最近一次的登录时间;
rsyslog服务器:
在rsyslog配置文件中,将监听打开,可以监听udp或tcp
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
配置后,重新启动服务:
service rsyslog restart
监听端口已经启动。
这样,其他主机就可以通过这些端口向此主机发送日志信息。
测试其他主机向此主机发送信息:
先要配置其他主机的/etc/rsyslog.conf,配置某日志的target,即存储位置为此主机
日志主机:192.168.147.130,客户端:192.168.147.129,配置129上的日志配置文件:
在客户端(129)上安装vsftp:yum install tree,在日志主机上:
可以看到,客户端日志信息已经开始被记录在日志主机上了。
注意:日志主机上先关闭防火墙。service iptables stop
测试将日志记录在mysql数据库中:
mysql数据库建在129上(客户端主机),日志主机(130)上需要有mysql的驱动:
安装rsyslog-mysql:yum install rsyslog-mysql,安装后查看安装的文件:rpm -ql rsyslog-mysql
主要就是一个so文件。还有一个createDB.sql,是初始化日志库的SQL语句文件:
然后在mysql服务器上配置:
创建日志库的用户:
# mysql -usyslogu -p123456 -h192.168.147.129 < /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql
至此,日志数据库的初始化完成。
在日志服务器上修改配置文件,加载mysql的驱动模块,配置target:
配置后重新启动服务。
此后的日志记录到mysql数据库中:select * from SystemEvents\G;
loganalyzer:下一步,就是为基于mysql的日志服务配置一个日志前端展示应用:loganalyzer
1)下载:LogAnalyzer 3.6.6
2)安装支持环境。LogAnalyzer就是一个php的web应用,链接mysql日志库,然后以各种方式展示或查询或分类日志,对日志分析,实现就是这样的一个功能。所以需要安装httpd、php等。
yum install httpd php php-mysql php-gd
3)测试httpd、php、mysql是否运行正常
编写测试页面:/var/www/html/index.php
注意:防火墙和selinux都需要关闭。
4)解压:tar xf loganalyzer-3.6.6
将src下的内容拷贝到/var/www/html/log/下,将contrib下的文件也拷贝到/var/www/html/log/下,同时将拷贝过去的contrib下的文件(configure.sh secure.sh),增加执行权限:
chmod +x *.sh
然后运行这两个程序:./configure.sh ./secure.sh
5)修改配置文件权限:chmod 666 config.php
如果config.php不存在,这个命令将创建文件。
6)在浏览器上执行安装,即访问install.php
完成后,显示日志页面:
后面就是这个网站的使用了。
本文标签
声明
本文内容仅代表作者观点,或转载于其他网站,本站不以此文作为商业用途
如有涉及侵权,请联系本站进行删除
转载本站原创文章,请注明来源及作者。