PAM

模块文件目录

/lib64/security/*.so

环境相关的设置

/etc/security/

主配置文件

/etc/pam.conf，默认不存在

为每种应用模块提供一个专用的配置文件

/etc/pam.d/APP_NAME

注意：如/etc/pam.d存在，/etc/pam.conf将失效

pam认证原理

PAM认证一般遵循这样的顺序：Service(服务)→PAM(配置文件)→pam_*.so
PAM认证首先要确定那一项服务，然后加载相应的PAM的配置文件(位于/etc/pam.d下)，最后调用认证文件(位于/lib64/security下)进行安全认证

通用配置文件/etc/pam.conf格式

application type control module-path arguments

服务名（application）
telnet、login、ftp等，服务名字“OTHER”代表所有没有在该文件中明确配置的其它服务
不常用

专用配置文件/etc/pam.d/* 格式

type control module-path arguments

模块类型（module-type）
control PAM库该如何处理与该服务相关的PAM模块的成功或失败情况
module-path 用来指明本模块对应的程序文件的路径名
Arguments 用来传递给该模块的参数

模块类型（module-type）

Auth 账号的认证和授权
Account 与账号管理相关的非认证类的功能，如：用来限制/允许用户对某个服务的访问时间，当前有效的系统资源(最多可以有多少个用户)，限制用户的位置(例如：root用户只能从控制台登录)
Password 用户修改密码时密码复杂度检查机制等功能
Session 用户获取到服务之前或使用服务完成之后需要进行一些附加的操作
如：记录打开/关闭数据的信息，监视目录等
-type 表示因为缺失而不能加载的模块将不记录到系统日志,对于那些不总是安装在系统上的模块有用

Control

PAM库如何处理与该服务相关的PAM模块成功或失败情况
两种方式实现：
简单和复杂
简单方式实现：一个关健词实现
required ：一票否决，表示本模块必须返回成功才能通过认证，但是如果该模块返回失败，失败结果也不会立即通知用户，而是要等到同一type中的所有模块全部执行完毕再将失败结果返回给应用程序，即为必要条件
requisite ：一票否决，该模块必须返回成功才能通过认证，但是一旦该模块返回失败，将不再执行同一type内的任何模块，而是直接将控制权返回给应用程序。是一个必要条件sufficient ：一票通过，表明本模块返回成功则通过身份认证的要求，不必再执行同一type内的其它模块，但如果本模块返回失败可忽略，即为充分条件
optional ：表明本模块是可选的，它的成功与否不会对身份认证起关键作用，其返回值一般被忽略
include： 调用其他的配置文件中定义的配置信息

复杂详细实现：使用一个或多个“status=action”
[status1=action1 status2=action …]

Status:检查结果的返回状态
Action:采取行为 ok，done，die，bad，ignore，reset

ok 模块通过，继续检查
done 模块通过，返回最后结果给应用
bad 结果失败，继续检查
die 结果失败，返回失败结果给应用
ignore 结果忽略，不影响最后结果
reset 忽略已经得到的结果

module-path: 模块路径

相对路径：
/lib64/security目录下的模块可使用相对路径如：pam_shells.so、pam_limits.so
绝对路径：
模块通过读取配置文件完成用户对系统资源的使用控制
/etc/security/*.conf
注意：修改PAM配置文件将马上生效
建议：编辑pam规则时，保持至少打开一个root会话，以防止root身份验证错误

Arguments

用来传递给该模块的参数