pam简介 Linux-PAM(linux可插入认证板块)是一套共享库,使本地系统管理员可以随便选择程序的认证方式。换句话说,不使用重新编译一个包含PAM功能的应使用程序,即可以改变它用的认证机制。这种方式下,就算更新本地认证机制,也不使用修改程序. PAM用配置/etc/pam.d/下的文件,来管理对程序的认证方式.应使用程序 调使用相应的配置文件,从而调使用本地的认证板块.板块放置在/lib/security下,以加载动态库的形式进,像我们用su命令时,系统会提醒你输入root使用户的密码.这就是su命令通过调使用PAM板块实现的。
PAM的配置文件详情
写在/etc/pam.conf文件中
将PAM配置文件放到/etc/pam.d/目录下
如上图: 第一列代表板块类型 第二列代表控制标记 第三列代表板块路径 第四列代表板块参数
640?wx_fmt=jpeg
PAM的板块类型 Linux-PAM有四种板块类型,分别代表四种不同的任务,它们是:认证管理(auth),账号管理(account),会话管理(session)和密码(password)管理,一个类型可能有多行,它们按顺序依次由PAM板块调使用.
管理方式 说明 auth 使用来对使用户的身份进行识别.如:提醒使用户输入密码,或者判断使用户能否为root等. account 对帐号的各项属性进行检查.如:能否允许登录,能否达到最大使用户数,或者是root使用户能否允许在这个终端登录等. session 这个板块使用来定义使用户登录前的,及使用户退出后所要进行的操作.如:登录连接信息,使用户数据的打开与关闭,挂载文件系统等. password 用使用户信息来升级.如:修改使用户密码.
PAM的控制标记 PAM用控制标记来解决和判断各个板块的返回值.(在此只说明简单的认证标记)
控制标记 说明 required 表示即便某个板块对使用户的验证失败,也要等所有的板块都执行完毕后,PAM 才返回错误信息。这样做是为了不让使用户知道被哪个板块拒绝。假如对使用户验证成功,所有的板块都会返回成功信息。 requisite 与required类似,但是假如这个板块返回失败,则立刻向应使用程序返回失败,表示此类型失败.不再进行同类型后面的操作. sufficient 表示假如一个使用户通过这个板块的验证,PAM结构就立刻返回验证成功信息(即便前面有板块fail了,也会把 fail结果忽略掉),把控制权交回应使用程序。后面的层叠板块即便用requisite或者者required 控制标志,也不再执行。假如验证失败,sufficient 的作使用和optional相同。 optional 表示即便本行指定的板块验证失败,也允许使用户接受应使用程序提供的服务,一般返回PAM_IGNORE(忽略).
板块路径 板块路径.即要调使用板块的位置. 假如是64位系统,一般保存在/lib64/security,如: pam_unix.so同一个板块,可以出现在不同的类型中.它在不同的类型中所执行的操作都不相同.这是因为每个板块针对不同的板块类型,编制了不同的执行函数.
常使用PAM板块详情 PAM板块 管理类型 说明 pam_unix.so auth 提醒使用户输入密码,并与/etc/shadow文件相比对.匹配返回0 pam_unix.so account 检查使用户的账号信息(包括能否过期等).帐号可使用时,返回0. pam_unix.so password 修改使用户的密码. 将使用户输入的密码,作为使用户的新密码升级shadow文件
pam_shells.so (auth,account) 假如使用户想登录系统,那么它的shell必需是在/etc/shells文件中
pam_deny.so (account,auth,password,session) 该板块可使用于拒绝访问
pam_deny.so (account,auth,password,session)板块任何时候都返回成功
pam_securetty.so auth 假如使用户要以root登录时,则登录的tty必需在/etc/securetty之中
pam_listfile.so (account,auth,password,session) 访问应使用程的控制开关
pam_cracklib.so password 这个板块可以插入到一个程序的密码栈中,使用于检查密码的强度
pam_limits.so session 定义用系统资源的上限,root使用户也会受此限制,可以通过/etc/security/limits.conf或者/etc/security/limits.d/*.conf来设定
扫一扫
1178
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
