如何编写系统登录测试？

我已经编写了一个Python CGI脚本来调用bash命令，它需要测试主机上的成功登录。

如何为此编写测试？

例如，我可以创建一个bash脚本来针对主机上的注册用户测试给定的用户名和密码组合吗？

使用PAM是最好的解决方案。您可以编写小型C代码，或安装python-pam软件包并使用python-pam软件包随附的python脚本。看到/usr/share/doc/python-pam/examples/pamtest.py

测试用户是否可以登录的正确方法是实际以该用户身份登录。

因此，我建议您使用CGI脚本expect来运行su，传递密码并运行必须执行的命令。这是一个可以做到这一点的Expect脚本的草稿（警告：绝对未经测试，我对流利的期望并不熟练）。替换在用户名，密码和命令（其中我写的bob，swordfish和somecommand）; 确保引用正确。

spawn "/bin/su" "bob"
expect "Password:"
send "swordfish\r"
expect "^\\$"
send "somecommand"
expect -re "^\\$"
send "exit\r"
expect eof

如果您确实不想通过一层执行命令su（例如，由于必须由CGI进程本身执行此操作），则可以使用Expect运行命令true并检查返回状态是否为0。

另一种方法是通过Python的PAM绑定直接在您的应用程序中使用PAM。

更具体地说，答案是：“是否可以创建一个bash脚本，以针对主机上的注册用户测试给定的用户名和密码组合？”

是。

#!/bin/bash
uid=`id -u`

if [ $uid -ne 0 ]; then 
    echo "You must be root to run this"
    exit 1
fi

if [ $# -lt 1 ]; then
    echo "You must supply a username to check - ($# supplied)"
    exit 1
fi

username=$1
salt=`grep $username /etc/shadow | awk -F: ' {print substr($2,4,8)}'`

if [ "$salt" != "" ]; then

        newpass=`openssl passwd -1 -salt $salt`
        grep $username  /etc/shadow | grep -q  $newpass && echo "Success" || echo "Failure"

fi

这里引用了一个“ C”，“ Python” PAM解决方案，让我也把perl放在一个:-)

来源：http : //search.cpan.org/~nikip/Authen-PAM-0.16/PAM/FAQ.pod#1._Can_I_authenticate_a_user_non_interactively吗？

#!/usr/bin/perl

  use Authen::PAM;
  use POSIX qw(ttyname);

  $service = "login";
  $username = "foo";
  $password = "bar";
  $tty_name = ttyname(fileno(STDIN));

  sub my_conv_func {
    my @res;
    while ( @_ ) {
        my $code = shift;
        my $msg = shift;
        my $ans = "";

        $ans = $username if ($code == PAM_PROMPT_ECHO_ON() );
        $ans = $password if ($code == PAM_PROMPT_ECHO_OFF() );

        push @res, (PAM_SUCCESS(),$ans);
    }
    push @res, PAM_SUCCESS();
    return @res;
  }

  ref($pamh = new Authen::PAM($service, $username, \&my_conv_func)) ||
         die "Error code $pamh during PAM init!";

  $res = $pamh->pam_set_item(PAM_TTY(), $tty_name);
  $res = $pamh->pam_authenticate;
  print $pamh->pam_strerror($res),"\n" unless $res == PAM_SUCCESS();

如果您具有root用户访问权限，并且正在使用md5密码，并且只需要比较密码，则可以使用perl Crypt :: PasswdMD5模块。从/ etc / shadow中获取MD5哈希，剥离$ 1 $，然后分割剩余的$。字段1 =盐，字段2 =加密文本。然后将输入到CGI中的文本散列，将其与加密后的文本进行比较，鲍勃是您的叔叔。

#!/usr/bin/env perl

use Crypt::PasswdMD5;

my $user                = $ARGV[0];
my $plain               = $ARGV[1];
my $check               = qx{ grep $user /etc/shadow | cut -d: -f2 };
chomp($check);
my($salt,$md5txt)       = $check =~ m/\$1\$([^\$].+)\$(.*)$/;
my $pass                = unix_md5_crypt($plain, $salt);

if ( "$check" eq "$pass" ) {
        print "OK","\n";
} else {
        print "ERR","\n";
}

经过一番搜索，我写了这个可以从脚本中使用的C程序。

#include <stdlib.h>
#include <stdio.h>
#include <pwd.h>
#include <shadow.h>
#include <string.h>
#include <crypt.h>
#include <unistd.h>
#include <libgen.h>

int main(int argc, char **argv) {
    struct spwd *pwd;
    if (argc != 3) {
        printf("usage:\n\t%s [username] [password]\n", basename(argv[0]));
        return 1;
    } else if (getuid() == 0) {
        pwd = getspnam(argv[1]);
        return strcmp(crypt(argv[2], pwd->sp_pwdp), pwd->sp_pwdp);
    } else {
        printf("You need to be root\n");
        return 1;
    }
}

您可以使用以下命令进行编译：

gcc -Wall password_check.c /usr/lib/libcrypt.a -o check_passwd

您可以将其用作

sudo ./check_passwd <user> <password> && echo "success" || echo "failure"

由于您提到您正在python中使用CGI，因此假设您将Apache用作httpd服务器可能是适当的。如果是这样，则将程序的身份验证过程留给Apache，并仅允许经过身份验证的人员执行您的cgi脚本/程序。

有很多模块可以在Apache上为您执行身份验证，这实际上取决于您要寻找哪种身份验证机制。您在问题中引用的方式似乎与基于/ etc / passwd，shadow文件的本地主机帐户身份验证有关。我对此快速搜索的模块是mod_auth_shadow。优势在于，您允许某个权威人士（在特权端口80上运行）为您认证用户/密码，并且可以根据需要依赖于用户的认证信息来代表用户运行命令。

良好的开始链接：

http://adam.shand.net/archives/2008/apache_tips_and_tricks/#index5h2

http://mod-auth-shadow.sourceforge.net/

http://www.howtoforge.com/apache_mod_auth_shadow_debian_ubuntu

另一种方法是使用Apache的SuEXEc模块，该模块代表经过身份验证的用户执行进程（cgi程序）。

使用PAM的这段代码对我有用：

#include <security/pam_appl.h>
#include <security/pam_misc.h>
#include <stdio.h>
#include <string.h>

// Define custom PAM conversation function
int custom_converation(int num_msg, const struct pam_message** msg, struct pam_response** resp, void* appdata_ptr)
{
    // Provide password for the PAM conversation response that was passed into appdata_ptr
    struct pam_response* reply = (struct pam_response* )malloc(sizeof(struct pam_response));
    reply[0].resp = (char*)appdata_ptr;
    reply[0].resp_retcode = 0;

    *resp = reply;

    return PAM_SUCCESS;
}

int main (int argc, char* argv[]) 
{
    if (argc > 2)
    {
        // Set up a custom PAM conversation passing in authentication password
        char* password = (char*)malloc(strlen(argv[2]) + 1);
        strcpy(password, argv[2]);        
        struct pam_conv pamc = { custom_converation, password };
        pam_handle_t* pamh; 
        int retval;

        // Start PAM - just associate with something simple like the "whoami" command
        if ((retval = pam_start("whoami", argv[1], &pamc, &pamh)) == PAM_SUCCESS)
        {
            // Authenticate the user
            if ((retval = pam_authenticate(pamh, 0)) == PAM_SUCCESS) 
                fprintf(stdout, "OK\n"); 
            else 
                fprintf(stderr, "FAIL: pam_authentication failed.\n"); 

            // All done
            pam_end(pamh, 0); 
            return retval; 
        }
        else
        {
            fprintf(stderr, "FAIL: pam_start failed.\n"); 
            return retval;
        }
    }

    fprintf(stderr, "FAIL: expected two arguments for user name and password.\n"); 
    return 1; 
}

如果需要脚本登录到主机，最好的办法是在主机之间配置ssh密钥。

链接：http：//pkeck.myweb.uga.edu/ssh/

我几乎从页面上取消了这个

首先，在两台UNIX机器hurly和burly上安装OpenSSH。据我所知，默认情况下，使用DSA密钥和SSH2效果最佳。我见过的所有其他HOWTO似乎都处理RSA密钥和SSH1，并且指令不足为奇地无法与SSH2一起使用。在每台计算机上，键入ssh somemachine.example.com并使用您的常规密码进行连接。这将在您的主目录中创建一个带有适当权限的.ssh目录。在您希望您的秘密密钥存在的主计算机上（假设您很生气），键入

ssh-keygen -t dsa

这将提示您输入密码。如果这是您的主要身份密钥，请确保使用良好的密码短语。如果此方法正常，您将在.ssh目录中得到两个名为id_dsa和id_dsa.pub的文件。注意：提示输入密码短语时，可以仅按Enter键，这将使一个没有密码短语的键成为可能。这是用于身份密钥的Bad Idea™，所以不要这样做！请参见下面的无密码密钥使用。

scp ~/.ssh/id_dsa.pub burly:.ssh/authorized_keys2

将id_dsa.pub文件复制到另一个主机的.ssh目录中，其名称为authorized_keys2。现在，burly准备接受您的ssh密钥。如何分辨使用哪些键？ssh-add命令将执行此操作。要进行测试，请输入

ssh-agent sh -c 'ssh-add < /dev/null && bash'

这将启动ssh-agent，添加您的默认身份（提示您输入密码），并生成一个bash shell。通过这个新的外壳，您应该能够：

ssh burly

您应该可以登录