linux上的PAM后门理解与学习

曾经终败给现在 2022-09-10 14:26 189阅读 0赞

### 文章目录 ###

*  1. 什么是PAM
 *  2. 读懂PAM配置文件
 *   *  2.1 module-type
     *  2.2 module\_flag
     *  2.3 module\_path
     *  2.4 optional
 *  3. PAM后门
 *  参考文章

# 1. 什么是PAM #

全称为Pluggable Authentication Modules，是一种身份认证机制。直译是`可插入的身份验证模块`。

简单理解为，应用程序可以调用PAM给的接口来进行身份验证而不用自己去写详细的身份验证模块，将身份验证端于服务端分离，根据返回值来决定验证是否通过进而是否提供服务，具体验证规则取决于自定义的配置文件，也就是/etc/pam.d/下的配置文件，例如sshd服务的配置文件就为/etc/pam.d/sshd。

![在这里插入图片描述][watermark_type_ZHJvaWRzYW5zZmFsbGJhY2s_shadow_50_text_Q1NETiBAU2hhbmZlbmdsYW43_size_20_color_FFFFFF_t_70_g_se_x_16]

在/etc/pam.d/下的文件中，与服务名称相对应的文件，为该服务的pam验证文件，例如服务为sshd，则在/etc/pam.d下存在sshd这个文件，里面包含sshd验证规则。`其中有个一特殊的文件为other，如果有的服务与之没有向对应的文件，则对应other`。

# 2. 读懂PAM配置文件 #

每一行配置都包涵四个部分，从左到右依次分别为module-type、control-flag、module\_path、optional，举例如下：  
![在这里插入图片描述][watermark_type_ZHJvaWRzYW5zZmFsbGJhY2s_shadow_50_text_Q1NETiBAU2hhbmZlbmdsYW43_size_20_color_FFFFFF_t_70_g_se_x_16 1]

<table> 
 <thead> 
  <tr> 
   <th>module-type</th> 
   <th>control-flag</th> 
   <th>module_path</th> 
   <th>optional</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>auth</td> 
   <td>optional</td> 
   <td>pam_krb5.so</td> 
   <td>use_kcminit</td> 
  </tr> 
  <tr> 
   <td>auth</td> 
   <td>optional</td> 
   <td>pam_ntlm.so</td> 
   <td>try_first_pass</td> 
  </tr> 
  <tr> 
   <td>auth</td> 
   <td>optional</td> 
   <td>pam_mount.so</td> 
   <td>try_first_pass</td> 
  </tr> 
 </tbody> 
</table>

## 2.1 module-type ##

有如下四种：

<table> 
 <thead> 
  <tr> 
   <th>module-type</th> 
   <th>用法理解</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>auth</td> 
   <td>用于身份识别，提示用户输入密码或者判断用户是否是root</td> 
  </tr> 
  <tr> 
   <td>account</td> 
   <td>对用户输入的账号的各项属性进行验证，例如是否允许登陆、账号最大连接数等，判断成功与否跟用户是否输入正确的密码无关</td> 
  </tr> 
  <tr> 
   <td>session</td> 
   <td>定义用于在用户登录时或用户断开登陆时候所执行的操作，例如设置shell类型等。</td> 
  </tr> 
  <tr> 
   <td>passwd</td> 
   <td>当用户执行更改密码等密码相关操作时认证所需的模块</td> 
  </tr> 
 </tbody> 
</table>

## 2.2 module\_flag ##

有如下五种：

<table> 
 <thead> 
  <tr> 
   <th>module_path</th> 
   <th>用法理解</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>required</td> 
   <td>成功后执行下一个判断，失败后继续执行在一个判断点，等可执行的判断点执行完后再退出程序并返回认证失败。</td> 
  </tr> 
  <tr> 
   <td>requisite</td> 
   <td>成功后执行下一个判断，失败后则直接退出验证程序并返回认证失败。</td> 
  </tr> 
  <tr> 
   <td>sufficient</td> 
   <td>成功后则认证成功，失败后则继续执行下一个判断点。</td> 
  </tr> 
  <tr> 
   <td>optional</td> 
   <td>返回值不重要，对最终的结果并无太大影响。</td> 
  </tr> 
  <tr> 
   <td>include</td> 
   <td>执行包含文件中的验证。可以包含其他的pam配置文件，例如system_auth。</td> 
  </tr> 
 </tbody> 
</table>

## 2.3 module\_path ##

用于实现服务的.so文件的路径，一般都只写文件名，库的路径一般为/lib/security(32位)，/lib64/security(64位)，也可能为/usr/lib。  
可以使用`find / -name "pam_unix.so"`去查找pam中so文件的路径。

## 2.4 optional ##

传给.so文件的参数。举例如下：

<table> 
 <thead> 
  <tr> 
   <th>optional</th> 
   <th>用法理解</th> 
  </tr> 
 </thead> 
 <tbody> 
  <tr> 
   <td>debug</td> 
   <td>该模块应当用syslog( )将调试信息写入到系统日志文件中。</td> 
  </tr> 
  <tr> 
   <td>no_warn</td> 
   <td>表明该模块不应把警告信息发送给应用程序。</td> 
  </tr> 
  <tr> 
   <td>use_first_pass</td> 
   <td>表明该模块不能提示用户输入密码，而应使用前一个模块从用户那里得到的密码。</td> 
  </tr> 
  <tr> 
   <td>try_first_pass</td> 
   <td>表明该模块首先应当使用前一个模块从用户那里得到的密码，如果该密码验证不通过，再提示用户输入新的密码。</td> 
  </tr> 
  <tr> 
   <td>use_mapped_pass</td> 
   <td>该模块不能提示用户输入密码，而是使用映射过的密码。</td> 
  </tr> 
  <tr> 
   <td>expose_account</td> 
   <td>允许该模块显示用户的帐号名等信息，一般只能在安全的环境下使用，因为泄漏用户名会对安全造成一定程度的威胁。</td> 
  </tr> 
 </tbody> 
</table>

# 3. PAM后门 #

Pam后门就是通过修改pam 调用的.so文件，间接修改服务的认证过程，进而实现后门，或者修改服务的Pam配置文件来实现后门。最终可以实现任意密码登录，或者指定密码登录等。

# 参考文章 #

[Linux下PAM模块学习总结][Linux_PAM]  
[Linux PAM后门：窃取ssh密码及自定义密码登录][Linux PAM_ssh]  
[Linux PAM&&PAM后门 - 我是壮丁][Linux PAM_PAM_ -]

[watermark_type_ZHJvaWRzYW5zZmFsbGJhY2s_shadow_50_text_Q1NETiBAU2hhbmZlbmdsYW43_size_20_color_FFFFFF_t_70_g_se_x_16]: /images/20220829/67279bbbcef84e33bcade95f17589454.png
[watermark_type_ZHJvaWRzYW5zZmFsbGJhY2s_shadow_50_text_Q1NETiBAU2hhbmZlbmdsYW43_size_20_color_FFFFFF_t_70_g_se_x_16 1]: /images/20220829/8656e0bba0ce44b0a1662541729b5244.png
[Linux_PAM]: https://www.cnblogs.com/kevingrace/p/8671964.html
[Linux PAM_ssh]: https://y4er.com/post/linux-backdoor-pam/
[Linux PAM_PAM_ -]: https://wooyun.js.org/drops/Linux%20PAM&&PAM%E5%90%8E%E9%97%A8.html