常用PAM模块简介.docVIP

转载自“华夏名网” 概述：本文介绍常见的pam认证模块，包括每一个模块的所属类型、功能描述以及可识别的参数，有配置文件的，我们给出了配置文件的简单说明，其中一 部分模块，我们还给出了配置实例。希望通过我们的介绍，使读者对常用的pam认证模块有一定的了解。本文的介绍是基于redhat7.x系统。水平有限， 不足之处请读者批评指正。 1．pam_access认证模块 所属类型：account 功能描述：该模块提供基于登录用户名、客户ip/主机名、网络号以及登录终端号的访问控制。缺省的，该模块的配置文件是/etc/security/access.conf，可以使用accessfile参数指定自定义的配置文件。 可带参数：accessfile=/path/to/file.conf 配置文件说明：该文件的每一行由如下三个字段构成，中间使用冒号分割：权限 : 用户 : 来源权限字段可以是”+”(即允许访问),”-”(禁止访问)；用户字段可以是用户名、组名以及诸如user@host格式的用户名，all表示任何人，具有多个值时，可以用空格分开。来源字段可以是tty名称（本地登录时）、主机名、域名（以”.”开始）,主机ip地址，网络号（以”.”结束）。all表示任何主机，local表示本地登录。可以使用except操作符来表示除了…之外。 配置实例：只有bye2000可以从本地登录主机。编辑/etc/pam.d/login如下所示：#%pam-1.0auth required /lib/security/pam_securetty.soauth required /lib/security/pam_stack.so service=system-authauth required /lib/security/pam_nologin.soaccount required /lib/security/pam_stack.so service=system-authaccount required /lib/security/pam_access.sopassword required /lib/security/pam_stack.so service=system-authsession required /lib/security/pam_stack.so service=system-authsession optional /lib/security/pam_console.so也即加上account required /lib/security/pam_access.so然后在/etc/security/access.conf中加上：-:all except bye2000 : local假如禁止root以外的任何人从任何地方登录，可以在/etc/security/access.conf中加上：-:all except root: all 2．pam_chroot认证模块 所属类型：account, session, auth 功能描述：该模块为一般用户提供一个虚根环境，该模块的配置文件是/etc/security/chroot.conf。 可带参数：debug：将调试信息写入日志onerr：定义当配置文件无法打开、chroot()函数失败以及配置文件中没有用户信息时的动作，缺省为”succeed”。 附加说明：该模块文档不全，没有对chroot.conf的相关配置说明。 3．pam_cracklib认证模块 所属类型：password 功能描述：该模块对用户密码提供强健性检测。换句话说，您可以定义用户密码的方方面面，比如密码长度、密码的复杂程度等等。 可带参数：debug：将调试信息写入日志type=xxx：添加/修改密码时，系统的缺省提示符是” new unix password:”以及” retype unix password:”，使用该参数可以自定义提示符中的unix，比如指定type=your.retry=n：定义添加/修改密码失败时，可以重试的次数。difok=n：定义新密码中必须有几个字符要与旧密码不同。但是如果新密码中有1/2以上的字符与旧密码不同时，该新密码将被接受。minlen=n：定义密码最小长度。dcredit=n：定义密码中可以包含数字的最大数目。ucredit=n：定义密码中可以包含的大写字母的最大数目。lcredit=n：定义密码中可以包含的小写字母的最大数目。ocredit=n：定义密码中可以包含的其他字符（除数字、字母之外）的最大数目。 配置实例：请参考/etc/pam.d/system-auth文件 4．pam_deny认证模块