PAM可插拔身份额认证模块
简介:
Linux-PAM(Pluggable Authentication Modules for Linux.基于Linux的插入式验证模块)是一组共享库,使用这些模块,系统管理者可以自由选择应用程序使用的验证机制。也就是说,勿需重新编译应用程序就可以切换应用程序使用的验证机制。甚至,不必触动应用程序就可以完全升级系统使用的验证机制。
主要作用于管理工具和相关命令
配置文件
PAM包含了一组动态可加载库模块,这些模块控制单个应用程序如何验证用户
通过修改PAM配置文件,为不同管理使用工具自定义安全要求。
配置文件都在/etc/pam.d中
[root@xiaoagiao pam.d]# ls
chfn fingerprint-auth-ac password-auth-ac runuser smtp.postfix su-l vmtoolsd
chsh login polkit-1 runuser-l sshd system-auth
config-util other postlogin smartcard-auth su system-auth-ac
crond passwd postlogin-ac smartcard-auth-ac sudo systemd-user
fingerprint-auth password-auth remote smtp sudo-i vlock
每个配置文件都有一些模块,大多数模块在/usr/lib64/security下
在/usr/share/doc/pam-1.1.8/txts/以及html子目录下是每个模块的详细描述
- 以login文件为例
[root@xiaoagiao pam.d]# cat login
#%PAM-1.0
auth [user_unknown=ignore success