/etc/pam.d/su内容详解

已于 2024-04-28 14:15:58 修改
阅读量464 收藏 4
点赞数 8
分类专栏: PAM 文章标签: linux 运维
于 2024-04-28 11:17:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53389944/article/details/138271980
版权
文章详细解释了CentOSLinux8.5.2111系统中su命令的PAM配置,包括pam_env、pam_rootok等模块在认证、账户、密码和会话管理中的作用,以及与system-auth和postlogin文件的交互。
摘要由CSDN通过智能技术生成

以下为CentOS Linux release 8.5.2111系统/etc/pam.d/su默认配置。

[root@localhost authselect]# cat /etc/pam.d/su
#%PAM-1.0
auth            required        pam_env.so
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth           required        pam_wheel.so use_uid
auth            substack        system-auth
auth            include         postlogin
account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
account         include         system-auth
password        include         system-auth
session         include         system-auth
session         include         postlogin
session         optional        pam_xauth.so

含义

  1. auth required pam_env.so: 这一行指定了在su命令执行时,需要使用pam_env模块来进行认证。pam_env模块用于设置用户环境变量。

  2. auth sufficient pam_rootok.so: 这一行指定了如果用户是root用户,即拥有root权限,则认证成功。如果用户不是root用户,则继续进行后续的认证。

  3. auth substack system-auth: 这一行指定了在认证过程中,将执行system-auth文件中定义的认证策略。

  4. auth include postlogin: 这一行指定了在认证过程中,将执行postlogin文件中定义的认证策略。

  5. account sufficient pam_succeed_if.so uid = 0 use_uid quiet: 这一行指定了如果用户的UID为0(即root用户),则认证成功。如果用户不是root用户,则继续进行后续的认证。

  6. account include system-auth: 这一行指定了在账户验证阶段,将执行system-auth文件中定义的账户验证策略。

  7. password include system-auth: 这一行指定了在密码验证阶段,将执行system-auth文件中定义的密码验证策略。

  8. session include system-auth: 这一行指定了在会话管理阶段,将执行system-auth文件中定义的会话管理策略。

  9. session include postlogin: 这一行指定了在会话管理阶段,将执行postlogin文件中定义的会话管理策略。

  10. session optional pam_xauth.so: 这一行指定了在会话管理阶段,可选择性地执行pam_xauth.so模块来进行X认证,用于X窗口系统的认证。

Yana.com
关注
  • 8
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
centOS禁止普通用户su到root
weixin_30475039的博客
08-08 1044
1.关于su的相关权限涉及到两个文件,分别为/etc/pam.d/su和/etc/login.defs两个配置文件。 2.禁止普通用户su到root,配置如下: 去除/etc/pam.d/su文件中如下行的注释,保存退出即可(即时生效): 效果如下: 3.禁止普通用户su到root,但是希望指定的普通用户可以su到root 在/etc/login.defs文件中加入如...
linux系统安全(二)su命令及系统安全
weixin_56667320的博客
05-17 2709
文章目录一、切换用户-su命令1、用途及格式2、susu 目标及su - 目标用户的区别3、密码验证二、为普通用户添加超级权限1、三种方法1.1、sudo命令1.1.1、概念1.1.2、配置1.2、visudo命令1.2.1、概念1.2.2、配置1.3、wheel组2、添加用户方法2.1、使用别名增加用户:Alias2.2、通配符增加用户2.3、实例3、常用选项三、PAM安全认证1、概念2、PAM认证的构成3、修改端口号 一、切换用户-su命令 1、用途及格式 用途:用于切换用户 su - 目标用户
linux系统之pam模块
weixin_34279579的博客
04-06 723
一、pam简介Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式. 换句话说,不用(重新编写)重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制. 这种方式下,就算升级本地认证机制,也不用修改程序. PAM使用配置/etc/pam.d/下的文件,来管理对程序的认证方式.应用程序 调用相应的配置文件,从而调用本地...
/etc/pam.d
thakyouhaha的博客
08-26 578
auth_pam_unix.so 用来验证用户和密码的 account_pam_unix.so 验证用户有没有过期          pam_rootok.so 判断当前用户是否为root pam_nologin.so 拒绝非root用户登录           pam_access.so 限制用户访问终端 pam_time.so 拒绝某个时间段访问某个服务
Linux学习笔记之 修改/etc/pam.d/su让wheel组用户su切换到root时不用输入密码
kfepiza的博客
05-20 4009
vi /etc/pam.d/su 在 /etc/pam.d/su 中, 与wheel有关的有两句 , 默认是加注释的, 此时所有用户能su到root, 要密码 #%PAM-1.0 auth sufficient pam_rootok.so # Uncomment the following line to implicitly trust users in the "wheel" group. #auth sufficient pam_wheel
linux etc/pam.d,/etc/pam.d 与 /etc/security
weixin_33586594的博客
05-16 1518
PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系 统中添加新的认证手段。PAM最初是集成在Solaris中,目前已移植到其它系统中,如Linux、SunOS、H...
在/etc/pam.d/su下做免密登录
2201_76119904的博客
06-30 272
添加以上两条命令,可以使user1,user3都可以免密登录到user2。添加以上两条命令,可以使user1免密登录到user2。在 pam_rootok.so下添加如下信息。
linux /etc/pam.d,/etc/pam.d 与 /etc/security
weixin_39944233的博客
05-16 1491
PAM(Pluggable Authentication Modules)是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系 统中添加新的认证手段。PAM最初是集成在Solaris中,目前已移植到其它系统中,如Linux、SunOS、HP...
Linux基线加固.pdf
03-15
- 在`/etc/pam.d/su`中添加: ```sh auth sufficient pam_rootok.soauth required pam_wheel.so group=wheel ``` 综上所述,Linux基线加固涉及多个方面的安全配置,包括密码策略、登录控制、日志审计等。这些...
Telnet服务安装与配置[文].pdf
10-12
若要启用root用户登录,需要修改`/etc/pam.d/login`文件,取消`pam_securetty.so`的限制,或者移动`/etc/securetty`文件。然而,这并不建议,因为Telnet协议本身是明文传输,容易被截取。更好的做法是在普通用户登录...
操作系统安全实验2实验报告.doc
最新发布
05-07
- 在`/etc/pam.d/su`文件头部添加特定配置,仅允许wheel组成员通过`su`命令切换至root用户。 - **用户组关联**: - 使用`usermod`命令将用户加入指定的用户组。 3. **文件系统管理安全** - **文件权限查看与...
Linux基线加固 作者:未知.pdf
03-15
### Linux基线加固知识点详解 #### 一、引言 在现代网络安全管理中,为了确保服务器的安全稳定运行,制定合理的安全基线是非常重要的一步。**Linux基线加固**旨在通过一系列标准化的操作,提升Linux系统的安全性,...
/etc/pam.d 与 /etc/security
kf_panda
11-24 2367
PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系 统中添加新的认证手段。 PAM最初是集成在Solaris中,目前已移植到其它系统中,如Linux、SunOS
Linux-PAM认证方式
weixin_33831673的博客
10-01 532
在linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等 在linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 linux各个...
/etc/pam.d/login Linux-PAM认证方式
wgz7747147820的博客
07-17 3458
https://blog.csdn.net/panfelix/article/details/21010299/ 在linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等 在linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 linux各个发行版中,PAM使用的验
linux中/etc/pam.d/system-auth文件详解
热门推荐
ghjzzhg的博客
07-01 5万+
密码设置及登陆控制文件位置:/etc/pam.d/system-auth, 示例文件内容如下: auth required pam_securetty.so auth required pam_unix.so shadow nullok auth required pam_nologin.so account required pam_unix.so ...
linux 密码设置及登陆控制/设置密码复杂度 (/etc/pam.d/system-auth)
西京刀客
06-15 3万+
文章目录一、linux密码设置及登陆控制1. Linux中pam模块1.1 PAM的模块类型1.2 常用PAM模块介绍2. LINUX设置密码复杂度3. 用户不能使用su来进行切换用户二、参考 一、linux密码设置及登陆控制 密码设置及登陆控制文件位置:/etc/pam.d/system-auth 1. Linux中pam模块 Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机
/etc/pam.d/su文件详解
04-05
/etc/pam.d/su文件是Linux系统中用于控制su命令的PAM(Pluggable Authentication Modules)配置文件。PAM是一个模块化的身份验证架构,可以用于管理不同类型的身份验证。 su命令可以让普通用户切换到超级用户(root)账户,但是需要输入root账户的密码。PAM框架通过在su命令运行时插入模块,来控制su命令的行为和安全性。 /etc/pam.d/su文件定义了su命令使用的PAM模块和它们的顺序。每个模块都有一个唯一的名称,例如auth、account、password和session。以下是/etc/pam.d/su文件的一些常见条目的含义: - auth:控制身份验证。例如,检查用户的密码是否正确。 - account:控制用户账户的访问。例如,检查用户是否被禁用。 - password:控制密码的更改。例如,检查密码的复杂度。 - session:控制用户会话的创建和销毁。例如,设置用户环境变量。 每个条目都由一个或多个PAM模块组成。例如,auth条目可能包含pam_unix、pam_wheel和pam_faillock模块,它们分别用于检查用户密码、检查用户是否在wheel组中以及处理失败的登录尝试。 整个/etc/pam.d/su文件的目的是为了确保su命令只能由授权的用户使用,并且在使用超级用户权限时仍然保持安全。如果您想更改su命令的默认行为,可以编辑/etc/pam.d/su文件并更改PAM模块的顺序或添加新的模块。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值