Linux认证的概念

Linux认证的概念

RHCA(Red Hat Certified Architect)，是RedHat公司在2004年推出的顶级认证，也是Linux界公认的 *** 作系统最高级认证。下面是我整理的关于Linux认证的概念，欢迎大家参考!

Linux用户认证方法简介

当今IT环境中,任何计算机系统都要充分考虑设计、使用和运行过程中的安全性。所以在目前主流 *** 作系统的各个环节当中都增加了很多安全方面的功能和特性，而在众多的安全特性和功能中有相当多的技术是确保用户鉴别和身份认证方面的安全性的。

所谓用户鉴别，就是用户向系统以一种安全的方式提交自己的身份z明，然后由系统确认用户的身份是否属实的过程。换句话说，用户鉴别是系统的门户，每个用户进入到系统之前都必须经过鉴别这一道关。 而所谓认证安全，简而言之就是计算机系统确认了用户是经过授权的合法用户之后才能允许访问。安全认证最常用的方式是比对用户输入和预存于数据库中的密码。

不过在用户进行身份鉴别和安全认证的过程中，肯定会涉及几个核心问题。例如：

如何真正实现正确鉴别用户的真实身份?

在鉴别用户合法身份之后，如何确定用户可以对哪些资源进行访问?

如何控制用户以何种方式来访问计算机资源?

如何对用户的安全访问随时随地按需调整?

上述这些问题都是在设计鉴别和认证程序过程中需要充分考虑和精心设计的。而在Linux类的 *** 作系统中，这些问题的处理实际上有一套完整的流程和机制。

在Linux类的 *** 作系统中，最初用户鉴别过程就像各种Unix *** 作系统一样：系统管理员为用户建立一个帐号并为其指定一个口令，用户用此指定的口令登录之后重新设置自己的口令，这样用户就具有了一个只有它自己知道的口令或者密码。一般情况下，用户的身份信息在Linux系统中存放在/etc/passwd文件当中，这实际上是一个拥有简单格式的数据库表，通过"："作为分隔符分隔出多个字段，其中包括用户的名称、用户ID、组ID、用户说明、主目录和登录使用的shell等相关信息。而用户口令经过加密处理后存放于/etc/shadow 文件中。也是一个格式类似的数据库表，除了用户名和经过加密之后的密码之外，还包括多个对密码有效期进行定义的字段，包括密码有效时间、密码报警时间等。

用户登录的时候，登录服务程序提示用户输入其用户名和口令，然后将口令加密并与/etc/shadow 文件中对应帐号的加密口令进行比较，如果口令相匹配，说明用户的身份属实并允许此用户访问系统。这种思想基于只有用户自己知道它的口令，所以输入的口令是正确的话，那么系统就认定它是所声称的那个人。

在Linux类 *** 作系统中，定义用户信息和密码信息的字段和格式都需要符合标准的Linux Naming Service Switch定义，即NSS定义。因此用户信息只要保证满足NSS规范，就可以来源于本地passwd和shadow之外的其它信息数据库和认证源。所以在此基础上还派生出一些其它认证解决方案。例如NIS、LDAP等，都可作为存放用户信息的数据库，而存放用户口令或者鉴别用户身份的数据库，可以采用专用于网络环境的Kerberos以及智能卡鉴别系统等方式。

这一整套的鉴别和认证方案貌似无懈可击，但是将这种解决方案真正应用到 *** 作系统中的话就会发现一些问题：

第一，在 *** 作系统上所包含的认证不仅仅只涉及到系统登录和访问，在系统外围往往提供了众多的应用程序，相当多的应用程序在访问过程中是有认证需求的。那么是否需要针对每一个应用程序都得加入认证和鉴别的功能?如果要，那么无论从程序的开发和使用管理角度来讲，工作量都将成倍增加如果不要，则系统级的用户鉴别和安全认证与应用程序没有任何关系，意味着不管用户是否需要登录系统，但是对应用程序的访问都将缺乏最基本的安全性。

第二，如果针对每一个应用程序都开发用户鉴别和认证的功能，那么一旦发现所用的.算法存在某些缺陷或想采用另一种鉴别和认证方法时，开发者或者用户都将不得不重写(修改或替换)应用程序，然后重新编译原程序。

所以，尤其是当实现鉴别功能的代码以通常方法作为应用程序一部分一起编译的时候，上述问题将十分突出。很明显，传统的身份鉴别和用户认证方式一旦整合到实际的 *** 作系统中，在实用当中缺乏灵活性。

鉴于以上原因，Linux *** 作系统的开发者和设计人员开始寻找一种更佳的替代方案：一方面，将鉴别功能从应用中独立出来，单独进行模块化的设计，实现和维护另一方面，为这些鉴别模块建立标准的应用程序接口即API，以便众多的应用程序能方便地使用它们提供的各种功能同时，鉴别机制对上层用户(包括应用程序和最终用户)要求一定要是透明的，这样可以对使用者隐藏其中比较复杂的实现细节。

可插拔认证模块PAM的基本概念

事实上直到1995年的时候，SUN的研究人员才提出了一种满足以上需求的方案，这就是可插拔认证模块(Pluggable Authentication Module--PAM)机制，并首次在其 *** 作系统 Solaris 2.3上部分实现。

可插拔认证模块(PAM)机制采用模块化设计和插件功能，使用户可以轻易地在应用程序中插入新的认证模块或替换原先的组件，同时不必对应用程序做任何修改，从而使软件的定制、维持和升级更加轻松。因为认证和鉴别机制与应用程序之间相对独立。所以应用程序可以通PAM API来方便地使用PAM提供的各种鉴别功能而不必了解太多的底层细节。此外PAM的易用性也较强，主要表现在它对上层屏蔽了鉴别和认证的具体细节，所以用户不必被迫学习各种各样的鉴别方式，也不必记住多个口令又由于它实现了多鉴别认证机制的集成问题，所以单个程序可以轻易集成多种鉴别机制，如Kerberos和Diffie - Hellman等认证机制，但用户仍可以用同一个口令登录而且感觉不到采取了各种不同的鉴别方法。

在广大开发人员的努力下，各版本的UNIX系统陆续增加和提供了对PAM应用的支持。其中Linux-PAM是专门为Linux *** 作系统实现的，众多的Linux *** 作系统包括Caldera、Debian、Turbo、Red Hat、SuSE 及它们的后续版本都提供对PAM的支持。而FreeBSD从3.1版本也开始支持PAM。而且除了具体实现方法上多少有些不同外，各种版本Unix系统上PAM的框架是相同的。所以我们在这里介绍的Linux的PAM框架知识具有相当的普遍性，而且在下文介绍其框架过程中可以看到，我们并没有刻意区分Unix PAM与Linux PAM这两个技术术语。

PAM的分层体系结构

PAM 为了实现其插件功能和易用性，采取了分层设计思想。就是让各鉴别模块从应用程序中独立出来，然后通过PAM API作为两者联系的纽带，这样应用程序就可以根据需要灵活地在其中"插入"所需要的鉴别功能模块，从而真正实现了在认证和鉴别基础上的随需应变。实际上，这一思路也非常符合软件设计中的"高内聚，低耦合"这一重要思想。

PAM 的体系如下简图所示：

从上面的结构图可以看出，PAM 的API起着承上启下的作用，它是应用程序和认证鉴别模块之间联系的纽带和桥梁：当应用程序调用PAM API 时，应用接口层按照PAM配置文件的定义来加载相应的认证鉴别模块。然后把请求(即从应用程序那里得到的参数)传递给底层的认证鉴别模块，这时认证鉴别模块就可以根据要求执行具体的认证鉴别 *** 作了。当认证鉴别模块执行完相应的 *** 作后，再将结果返回给应用接口层，然后由接口层根据配置的具体情况将来自认证鉴别模块的应答返回给应用程序。

上面描述了PAM的各个组成部分以及整体的运作机理。下面将对PAM中的每一层分别加以介绍。

第一层：模块层。模块层处于整个PAM体系结构中的最底层，它向上为接口层提供用户认证鉴别等服务。也就是说所有具体的认证鉴别工作都是由该层的模块来完成的。对于应用程序，有些不但需要验证用户的口令，还可能要求验证用户的帐户是否已经过期。此外有些应用程序也许还会要求记录和更改当前所产生的会话类的相关信息或改变用户口令等。所以PAM在模块层除了提供鉴别模块外，同时也提供了支持帐户管理、会话管理以及口令管理功能的模块。当然，这四种模块并不是所有应用程序都必需的，而是根据需要灵活取舍。比如虽然login可能要求访问上述所有的四种模块,但是su可能仅仅需要使用到鉴别模块的功能即可。至于如何取舍则涉及到接口层的PAM API和配置文件，这部分内容将在后文中加以介绍。

第二层：应用接口层。应用接口层位于PAM结构的中间部分，它向上为应用程序屏蔽了用户鉴别等过程的具体细节，向下则调用模块层中的具体模块所提供的特定服务。由上图可以看出，它主要由PAM API和配置文件两部分组成，下面将逐一介绍。

PAM API可以分为两类：一类是用于调用下层特定模块的接口，这类接口与底层的模块相对应，包括：

鉴别类接口：pam_authenticate()用于鉴别用户身份，pam_setcred()用于修改用户的私密信息。

帐号类接口：pam_acct_mgmt()用于检查受鉴别的用户所持帐户是否有登录系统许可，以及该帐户是否已过期等。

会话类接口：包括用于会话管理和记帐的 pam_open_session()和 pam_close_session()函数。

口令类接口：包括用于修改用户口令的 pam_chauthtok()。

第二类接口通常并不与底层模块一一对应，它们的作用是对底层模块提供支持以及实现应用程序与模块之间的通信等。具体如下：

管理性接口： 每组 PAM 事务从 pam_start()开始，结束于 pam_end()函数。接口 pam_get_item()和 pam_set_item()用来读写与 PAM 事务有关的状态信息。同时，能够用 pam_str()输出 PAM 接口的出错信息。

应用程序与模块间的通讯接口：在应用程序初始化期间，某些诸如用户名之类的数据可以通过 pam_start()将其存放在PAM接口层中，以备将来底层模块使用。另外底层模块还可以使用 pam_putenv()向应用程序传递特定的环境变量，然后应用程序利用pam_getenv()和pam_getenvlist()读取这些变量。

用户与模块间的通讯接口：pam_start()函数可以通过会话式的回调函数，让底层模块通过它们读写模块相关的鉴别信息，比如以应用程序所规定的方式提示用户输入口令。

模块间通讯接口：尽管各模块是独立的，但是它们仍然能够通过pam_get_item()和pam_set_item()接口共享某些与鉴别会话有关的公用信息，诸如用户名、服务名、口令等。此外，这些API还可以用于在调用pam_start()之后，让应用程序修改状态信息。

读写模块状态信息的接口：接口pam_get_data()和pam_set_data()用以按照PAM句柄要求访问和更新特定模块的信息。此外，还可以在这些模块后附加一个清除数据函数，以便当调用 pam_end()时清除现场。

由于 PAM 模块随需加载,所以各模块始化任务在第一次调用时完成。如果某些模块的清除任务必须在鉴别会话结束时完成，则它们应该使用 pam_set_data()规定清除函数，这些执行清除任务的函数将在应用程序调用 pam_end()接口时被调用。

安装过程有设置管理员密码这一步的，是你不记得罢了。

第一步：进入ubuntu引导菜单。

当电脑启动并自检之后，会显示一个“GRUB Loading Stage”的提示信息。当出现这个信息之后，就要快速按下ESC键，以进入传说中的ubuntu引导菜单。

第二步：启动到恢复模式。

在引导菜单中选择第二项即“Recovery Mode”（恢复模式）。

第三步：打开一个命令行窗口。

进入恢复模式的菜单中，选择“Drop to root shell prompt”，打开一个命令行窗口。

第四步：动手改吧。

先输入passwd root

全球认可的12个Linux认证

1. CompTIA Linxu+

CompTIA Linux+ 是LPI(Linux Professional Institute，Linux专业委员会)主办的一个Linux认证，在全世界范围内提供培训。其提供的Linux相关知识，可以用于从事一大批Linux相关专业的工作，如Linux管理员、高级网络管理员、系统管理员、Linux数据库管理员和Web管理员。如果任何人想从事安装和维护Linux *** 作系统，该课程会帮助他达到认证要求，并且通过提供对Linux系统更宽阔的认识，能够为通过考试做好准备。LPI的CompTIA Linux+认证的主要目的就是，提供给证书持有者足够扎实的，关于安装软件、 *** 作、管理和设备排障的知识。我们可以付出一定的费用、时间和努力，完成CompTIA Linux+，同时获得三个业内认可的证书：LPI LPIC-1和SUSE Certified Linux Administrator (CLA)证书。

认证代码 : LX0-103，LX0-104(2015年3月30日启动)或者LX0-101，LX0-102

题目数量：每次考试60道题

题目类型：多选

考试时长：90分钟

要求：A+，Network+，并且有至少12个月的Linux管理经验

分数线：500 (对于200-800的范围来说)

语言：英语，将来会有德语，葡萄牙语，繁体中文，西班牙。

有效期：认证后三年有效

注意：不同系列的考试不能合并。如果你考的是LX0-101，那么你必须考LX0-102完成认证。同样的，LX0-103和LX0-104又是一个系列。LX0-103和LX0-104系列是LX0-101和LX0-102系列的升级版。

2. LPIC

LPIC，全称Linux专业委员会认证( Linux Professional Institute Certification)，是Linux专业委员会的一个Linux认证程序。这是一个多级别的认证程序，要求在每个级别通过一系列(通常是两个)的认证考试。该认证有三个级别，包括初级水平认证 LPIC-1 ，高级水平认证 LPIC-2和最高水平认证 LPIC-3。前两个认证侧重于 Linux系统管理，而最后一个认证侧重一些专业技能，包括虚拟化和安全。为了得到 LPIC-3 认证，一个持有有效的 LPIC-1 与LPIC-2 认证的考生必须通过300复杂环境测试、303安全测试、304虚拟化测试和高可用性测试中的一个。LPIC-1认证按照证书持有者可以通过运行Linux，使用命令行界面和基本的网络知识安装，维护，配置等任务而设计，LPIC-2测试考生是否作为管理中小型混合网络的候选人。LPIC-3认证是为企业级Linux专业技能设计所设计，代表了最高的专业水平和不针对特定 Linux 发行版的行业认证。

认证代码：LPIC-1(101和102)，LPIC-2(201和202)和LPIC-3(300，303或者304)

题目类型：60个多项选择

考试时长：90分钟

要求：无，建议有 Linux Essentials 认证

分数线：500(在200-800的范围内)

语言：LPIC-1：英语，德语，意大利语，葡萄牙语，西班牙语(现代)，汉语(简体)，汉语(繁体)，日语

LPIC-2：英语，德语，葡萄牙语，日语

LPIC-3：英语，日语

有效期：退休之后五年内仍然有效

3.Oracle Linux OCA

Oracle联合认证(OCA)为个人而定制，适用于那些想证明其部署和管理Oracle Linux *** 作系统的知识牢固的人。该认证专业知识仅仅针对Oracle Linux发行版，这个系统完全是为Oracle产品特别剪裁的，可以运行Oracle设计的系统，包括Oracle Exadata数据库服务器，Oracle Exalytics In-Memory 服务器，Oracle Exalogic 均衡云，和Oracle数据库应用等。Oracle Linux的“坚不可摧企业内核”为企业应用带来了高性能、高扩展性和稳定性。OCA认证覆盖了如管理本地磁盘设备、管理文件系统、安装和移除Solaris包与补丁，优化系统启动过程和系统进程。这是拿到OCP证书系列的第一步。OCA认证以其前身为Sun Certified Solaris Associate(SCSAS)而为人所知。

认证代码：OCA

题目类型：75道多项选择

考试时长：120分钟

要求：无

分数线：64%

有效期：永远有效

4. Oracle Linux OCP

Oracle专业认证(OCP)是Oracle公司为Oracle Linux提供的一个认证，覆盖更多的进阶知识和技能，对于一个Oracle Linux管理员来说。它囊括的知识有配置网络接口、管理交换分区配置、崩溃转储、管理软件、数据库和重要文件。OCP认证是技术性专业知识和专业技能的基准测试，这些知识与技能需要在公司里广泛用于开发、部署和管理应用、中间件和数据库。Oracle Linux OCP的工作机会在增长，这得益于工作市场和经济发展。根据考试纲领，证书持有者有能力胜任安全管理、为Oracle 数据库准备Oracle Linux系统、排除故障和进行恢复 *** 作、安装软件包、安装和配置内核模块、维护交换空间、完成用户和组管理、创建文件系统、配置逻辑卷管理(LVM)、文件分享服务等等。

认证代码：OCP

题目类型：60至80道多项选择题

考试时长：120分钟

要求：Oracle Linux OCA

分数线：64%

有效期：永远有效

5. RHCSA

RHCSA是红帽公司作为红帽认证系统工程师推出的一个认证程序。RHCSA们是指一些拥有在著名的红帽Linux环境下完成核心系统管理技能和能力的人。这是一个入门级的认证程序，关注在系统管理上的实际胜任能力，包括安装、配置一个红帽Linux系统，接入一个可用的网络提供网络服务。一个红帽认证的系统管理员可以理解和使用基本的工具，用以处理文件、目录、命令行环境和文档 *** 作运行中的系统，包括以不同的启动级别启动、识别进程、开启和停止虚拟机和控制服务使用分区和逻辑卷配置本地存储创建和配置文件系统和文件系统属性，包括权限、加密、访问控制列表和网络文件系统部署配置和维护系统，包括软件安装、更新和核心服务管理用户和组，包括使用一个中心的目录用于验证安全性的工作，包括基本的'基本防火墙和SELinux配置。要获得RHCE和其他认证，首先得认证过RHCSA。

认证代码：RHCSA

课程代码：RH124，RH134和RH199

考试代码：EX200

考试时长：21-22小时，取决于选择的课程

要求：无。有一些Linux基础知识更好

分数线：300总分，210过(70%)

有效期：3年

6. RHCE

RHCE，也叫做红帽认证工程师，是一个中到高级水平的认证程序，为一些想要学习更多技能和知识，成为一个负责红帽企业Linux的高级系统管理员的RHCSA开设的，RHCE应该有能力、知识和技能来配置静态路由、包过滤、NAT、设定内核运行参数、配置一个ISCSI初始化程序，生成并发送系统用量报告、使用shell脚本自动完成系统维护任务、配置系统日志，包括远程日志、提供网络服务如HTTP/HTTPS、FTP、NFS、SMB、SMTP、SSH和NTP等等。推荐希望获得更多高级水平的认证的RHCSA们、已经完成系统管理员I，II和III、或者已经完成RHCE 快速跟进培训的人们参加认证。

认证代码：RHCE

课程代码：RH124，RH134，RH254和RH199

考试代码：EX200和EX300

考试时长：21-22个小时，取决于所选课程

要求：一个RHCSA证书

分数线：300总分，210过(70%)

有效期：3年

7. RHCA

RHCA即红帽认证架构师，是红帽公司的一个认证程序。它的关注点在系统管理的实际能力，包括安装和配置一个红帽Linux系统，并加入到一个可用网络中运行网络服务。RHCA是所有红帽认证中最高水平的认证。考生需要选择他们希望针对的领域，或者选择合格的红帽认证的任意组合来创建一个他们自己的领域。这里有三个主要的领域：数据中心、云和应用平台。精通数据中心领域的RHCA能够运行、管理数据中心而熟悉云的可以创建、配置和管理私有云和混合云、云应用平台以及使用红帽企业Linux平台的灵活存储方案精通应用平台集合的RHCA拥有技能如安装、配置和管理红帽JBoss企业应用平台和应用，云应用平台和混合云环境，借助红帽的OpenShift企业版，使用红帽JBoss数据虚拟化技术从多个资源里组合数据。

认证代码：RHCA

课程代码：CL210，CL220.CL280，RH236，RH318，RH413，RH436，RH442，JB248和JB450

考试代码：EX333，EX401，EX423或者EX318，EX436和EX442

考试时长：21-22个小时，取决于所选课程

要求：未过期的RHCE证书

分数线：300总分，210过(70%)

有效期：3年

8. SUSE CLA

SUSE认证Linux管理员(SUSE CLA)是SUSE推出的一个初级认证，关注点在SUSE Linux企业服务器环境下的日常任务管理。为了获得SUSE CLA认证，不用必须完成课程任务，只需要通过考试就能获得认证。SUSE CLA们能够、也有技术去使用Linux桌面、定位并利用帮助资源、管理Linux文件系统、用Linux Shell和命令行工作、安装SLE 11 SP22、管理系统安装、硬件、备份和恢复、用YaST管理Linux、Linux进程和服务、存储、配置网络、远程接入、SLE 11 SP2监控，任务自动化和管理用户访问和安全工作。我们可以同时获得SUSE CLA，LPIC-1和CompTIA Linux认证，因为SUSE，Linux Professional Institute和CompATI合作提供了这个同时获得三个Linux认证的机会。

认证代码：SUSE CLA

课程代码：3115，3116

考试代码：050-720，050-710

问题类型：多项选择

考试时长：90分钟

要求：无

分数线：512

9. SUSE CLP

SUSE认证Linux专业人员(CLP)是一个认证程序，为那些希望获得关于SUSE Linux企业服务器更多高级且专业的知识的人而服务。SUSE CLP是通过SUSE CLA认证后的下一步。应该通过CLA的考试并拥有证书，然后通过完成CLP的考试才能获得CLP的认证。通过SUSE CLP认证的人员有能力完成安装和配置SLES 11系统、维护文件系统、管理软件包、进程、打印、配置基础网络服务、samba、Web服务器、使用IPv6、创建和运行bash shell脚本。

认证代码：SUSE CLP

课程代码：3115，3116和3117

考试代码：050-721，050-697

考试类型：手写

考试时长：180分钟

要求：SUSE CLA 认证

10. SUSE CLE

SUSE认证Linux工程师(CLE)是一个工程师级别的高级认证，为那些已经通过CLE考试的人准备。为了获得CLE认证，人们需要已经获得SUSE CLA和CLP的认证。获得CLE认证的人员拥有架设复杂SUSE Linux企业服务器环境的技能。CLE认证过的人可以配置基本的网络服务、管理打印、配置和使用Open LDAP、samba、IPv6、完成服务器健康检测和性能调优、创建和执行shell脚本、部署SUSE Linux企业板、通过Xen实现虚拟化等等。

认证代码：SUSE CLE

课程代码：3107

考试代码：050-723

考试类型：手写

考试时长：120分钟

要求：SUSE CLP 10或者11证书

11. LFCS

Linux基金会认证系统管理员(LFCS)认证考生使用Linux和通过终端环境使用Linux的知识。LFCS是Linux基金会的一个认证程序，为使用Linux *** 作系统工作的系统管理员和工程师准备。Linux基金会联合业内专家、Linux内核社区，测试考生的核心领域、关键技能、知识和应用能力。通过LFCS认证的人员拥有一些技能、知识和能力，包括在命令行下编辑和 *** 作文件、管理和处理文件系统与存储的错误、聚合分区作为LVM设备、配置交换分区、管理网络文件系统、管理用户帐号/权限和属组、创建并执行bash shell脚本、安装/升级/移除软件包等等。

认证代码：LFCS

课程代码：LFCS201，LFCS220(可选)

考试代码：LFCS 考试

考试时长：2小时

要求：无

分数线：74%

语言：英语

有效期：两年

12. LFCE

Linux基金会认证工程师(LFCE)，是Linux基金会为Linux工程师推出的认证。相比于LFCS，通过LFCE认证的人员在Linux方面拥有更大范围的技能。这是一个工程师级别的高级认证程序。LFCE认证的人具备一些网络管理方面的技能和能力，如配置网络服务、配置包过滤、监控网络性能、IP流量、配置文件系统和文件服务、网络文件系统、从仓库安装/升级软件包、管理网络安全、配置iptables、http服务、代理服务、邮件服务等等。由于其为高级工程级别的认证程序，所以普遍认为相比LFCS，学习和通过的难度更大些。

认证代码：LFCE

课程代码：LFS230

考试代码：LFCE 考试

考试时长：2小时

要求：认证过LFCS

分数线：72%

语言：英语

有效期：2年

---