pam模块认证机制
pam:系统管理员通过PAM模块文件来制定不同应用程序的不同认证策略
pam模块文件: /lib64/security/.so
特定pam模块对应的参数文件: /etc/security/
应用程序调用pam模块的配置文件: /etc/pam.d/*
pam认证过程:
passwd – /etc/pam.d/passwd – 根据passwd调用pam模块进行验证
pam配置文件格式说明: /etc/pam.d/
类型 控制 路径 参数
auth required pam.shells.so
类型: auth,用户认证
account 账号有效性认证
passwd 修改密码规则
session 用户会话期间的控制,最多打开的文件数等*
控制: required 一票否决
sufficient 一票通过
optional 可选
路径: /lib64/security/pam_shells.so
可简写为pam_shells.so
常用pam模块:
查找使用某模块的应用程序
grep -i pam_shells /etc/pam.d/*
pam_shells.so模块
只允许/etc/shells 下的shell类型登录
pam_securetty.so模块
只允许root登录/etc/securetty 下的终端
pam_nologin.so模块
如果/etc/nologin存在,即禁止普通用户登录,并提示文件内容
pam_limits.so模块
用户资源的限制,有独立参数配置文件
ulimit -a 查看所有参数配置
参数配置文件: /etc/security/limits.conf
格式:
* - nproc 5
- 任意用户或组 - 即又是软限制又是硬限制
nproc 限制的资源
限制资源:
-core-限制核心文件大小(KB)
-data-最大数据大小(KB)
-fsize-最大文件大小(KB)
-memlock-最大内存锁定地址空间(KB)
-nofile-打开文件描述符的最大数量
-rss-最大居民集大小(KB)
-cpu-最大CPU时间(MIN)
-nproc-最大进程数
-as-地址空间限制(KB)
-maxlogins-该用户的最大登录数
-maxsyslogins-系统上的最大登录数
-locks-用户可以持有的最大文件锁数
-sigpending-未决信号的最大数量
-msgqueue-POSIX消息队列使用的最大内存(字节)
时间同步服务
加密和安全当前都离不开时间的同步,否则各种网络服务可能不能正常运行
NTP协议:时间网络同步协议
工具:chrony 实现ntp协议的自由软件,快速同步
配置文件: /etc/chrony.conf
格式 :
server ntp.aliyun.com iburst
allow 0.0.0.0/0 允许所有主机与我同步
公共NTP服务器:
ntp.aliyun.com
chronyc source -v 查看时间同步信息