PAM
cron 的 PAM 支持
在上一家公司的时候曾经有很多关于 cron(8) 的想法,但一直没有付诸实施,很多东西放在本地慢慢生锈了。
去年年底的时候我开始着手去修了一些 cron(8) 的 bug,其中包括为 cron 之前不够完整的 PAM 支持进行了改进。
背景:PAM
Pluggable Authentication Module (PAM) 为一系列身份验证相关的操作提供了一组通用的接口。 在没有 PAM 之前,应用程序需要实现大量重复的代码来完成类似的操作,例如要求用户输入密码并进行验证等。 这么做的问题在于缺乏灵活性,例如,管理员可能希望将用户数据保存到 LDAP 目录中, 或是使用指纹等新式验证方式。PAM 使这些相关操作可以通过插件来完成, 应用程序不再需要关心「如何验证用户身份」(用户名、密码等等是不是正确),而只需要向 PAM 询问 「该用户的身份是否合法?」即可。这层抽象简化了应用程序开发者的工作, 并且赋予了系统管理员更大的灵活性。
PAM 将系统的认证工作分成了四组基本操作:
auth:验证用户身份(比如检查密码)。account:检查账户是否有效(比如是否过期、是否允许在此时间登录)。password:用于修改密码。session:会话管理,即用户「进门前」和「出门后」需要进行的环境搭建或清理工作。这是本次更新的核心。
记一件糗事:术后清理要做好
今天和 Henry Hu 聊起 iichid 已经进了 FreeBSD 的主线,
想起自己之前鼠标啥的还是都在用 sysmouse,觉得既然来都来了就索性都改成 evdev 的输入设备算了?
改了 /boot/loader.conf 并增加了下列设置:
iichid_load="YES"
usbhid_load="YES"
hms_load="YES"
hw.usb.usbhid.enable="1" # 防止uhid(4)接管重启。等等,一闪而过的那是什么?
ntpd is not allowed to log in on /dev/console配合sudo使用 Google Authenticator
📜 历史文件已不具备现实意义
基于 TOTP 的做法不易备份,此外无法防止钓鱼。新部署时应考虑 FIDO 2 等更为现代化的解决方案。
Google Authenticator 是一个 TOTP(基于时间的一次性口令)实现,它采用了 RFC 4226 算法。
阅读全文…基于生物特征识别的计算机登录安全吗?
许多新的笔记本计算机系统配备了基于指纹的身份识别系统。与通常人们的认知不同,这类系统的安全性往往仅仅与使用口令相当,甚至要比基于口令的身份认证系统来的更差;这类系统的价值在于,它们简化了用户的身份验证过程,而不是其改善了系统的安全性。
阅读全文…