常用PAM模塊簡(jiǎn)介

1、常用PAM模塊簡(jiǎn)介轉(zhuǎn)載自“華夏名網(wǎng)” 常見(jiàn)的PAM認(rèn)證模塊簡(jiǎn)介概述：本文介紹常見(jiàn)的pam認(rèn)證模塊，包括每一個(gè)模塊的所屬類型、功能描述以及可識(shí)別的參數(shù)，有配置文件的，我們給出了配置文件的簡(jiǎn)單說(shuō)明，其中一 部分模塊，我們還給出了配置實(shí)例。希望通過(guò)我們的介紹，使讀者對(duì)常用的pam認(rèn)證模塊有一定的了解。本文的介紹是基于redhat7.x系統(tǒng)。水平有限， 不足之處請(qǐng)讀者批評(píng)指正。1pam_access認(rèn)證模塊所屬類型：account功能描述：該模塊提供基于登錄用戶名、客戶ip/主機(jī)名、網(wǎng)絡(luò)號(hào)以及登錄終端號(hào)的訪問(wèn)控制。缺省的，該模塊的配置文件是/etc/security/access.conf，可以使用a

2、ccessfile參數(shù)指定自定義的配置文件?？蓭?shù)：accessfile=/path/to/file.conf配置文件說(shuō)明：該文件的每一行由如下三個(gè)字段構(gòu)成，中間使用冒號(hào)分割：權(quán)限 : 用戶 : 來(lái)源權(quán)限字段可以是”+”(即允許訪問(wèn)),”-”(禁止訪問(wèn))；用戶字段可以是用戶名、組名以及諸如userhost格式的用戶名，all表示任何人，具有多個(gè)值時(shí)，可以用空格分開(kāi)。來(lái)源字段可以是tty名稱（本地登錄時(shí)）、主機(jī)名、域名（以”.”開(kāi)始）,主機(jī)ip地址，網(wǎng)絡(luò)號(hào)（以”.”結(jié)束）。all表示任何主機(jī)，local表示本地登錄?？梢允褂胑xcept操作符來(lái)表示除了之外。配置實(shí)例：只有bye2000可以從本

3、地登錄主機(jī)。編輯/etc/pam.d/login如下所示：#%pam-1.0auth required /lib/security/pam_securetty.soauth required /lib/security/pam_stack.so service=system-authauth required /lib/security/pam_nologin.soaccount required /lib/security/pam_stack.so service=system-authaccount required /lib/security/pam_access.sopassword

4、required /lib/security/pam_stack.so service=system-authsession required /lib/security/pam_stack.so service=system-authsession optional /lib/security/pam_console.so也即加上account required /lib/security/pam_access.so然后在/etc/security/access.conf中加上：-:all except bye2000 : local假如禁止root以外的任何人從任何地方登錄，可以在/etc

5、/security/access.conf中加上：-:all except root: all2pam_chroot認(rèn)證模塊所屬類型：account, session, auth功能描述：該模塊為一般用戶提供一個(gè)虛根環(huán)境，該模塊的配置文件是/etc/security/chroot.conf?？蓭?shù)：debug：將調(diào)試信息寫(xiě)入日志onerr：定義當(dāng)配置文件無(wú)法打開(kāi)、chroot()函數(shù)失敗以及配置文件中沒(méi)有用戶信息時(shí)的動(dòng)作，缺省為”succeed”。附加說(shuō)明：該模塊文檔不全，沒(méi)有對(duì)chroot.conf的相關(guān)配置說(shuō)明。3pam_cracklib認(rèn)證模塊所屬類型：password功能描述：該模塊

6、對(duì)用戶密碼提供強(qiáng)健性檢測(cè)。換句話說(shuō)，您可以定義用戶密碼的方方面面，比如密碼長(zhǎng)度、密碼的復(fù)雜程度等等。可帶參數(shù)：debug：將調(diào)試信息寫(xiě)入日志type=xxx：添加/修改密碼時(shí)，系統(tǒng)的缺省提示符是” new unix password:”以及” retype unix password:”，使用該參數(shù)可以自定義提示符中的unix，比如指定type=your.retry=n：定義添加/修改密碼失敗時(shí)，可以重試的次數(shù)。difok=n：定義新密碼中必須有幾個(gè)字符要與舊密碼不同。但是如果新密碼中有1/2以上的字符與舊密碼不同時(shí)，該新密碼將被接受。minlen=n：定義密碼最小長(zhǎng)度。dcredit=n：定

7、義密碼中可以包含數(shù)字的最大數(shù)目。ucredit=n：定義密碼中可以包含的大寫(xiě)字母的最大數(shù)目。lcredit=n：定義密碼中可以包含的小寫(xiě)字母的最大數(shù)目。ocredit=n：定義密碼中可以包含的其他字符（除數(shù)字、字母之外）的最大數(shù)目。配置實(shí)例：請(qǐng)參考/etc/pam.d/system-auth文件4pam_deny認(rèn)證模塊所屬類型：account, session, auth,password功能描述：該模塊僅僅返回一個(gè)錯(cuò)誤。用來(lái)拒絕用戶訪問(wèn)。通常該模塊被用來(lái)作為缺省的驗(yàn)證規(guī)則。可帶參數(shù)：無(wú)配置實(shí)例：請(qǐng)參考/etc/pam.d/system-auth文件5pam_env認(rèn)證模塊所屬類型： aut

8、h功能描述：該模塊可以用來(lái)設(shè)置任意的環(huán)境變量，缺省的，該模塊的配置文件是/etc/security/pam_env.conf，可以使用conffile參數(shù)指定自定義的配置文件。配置文件說(shuō)明：該配置文件每一行（一個(gè)條目）的語(yǔ)法如下：變量名 default=值 override=值選 項(xiàng)default說(shuō)明這是一個(gè)缺省值；override則說(shuō)明可以覆蓋缺省值。在該配置文件中，可以使用$變量名的形式應(yīng)用變量。除此之外，該模塊還 可以從/etc/environment文件中讀入形如“變量名=值”的環(huán)境變量，當(dāng)然該文件也可以用readenv參數(shù)自己指定。需要注意的是，該文件 的讀入的值，將覆蓋conffi

9、le文件中的缺省值?？蓭?shù)：debug：將調(diào)試信息寫(xiě)入日志conffile=filename：指定自定義的配置文件；readenv=filename：指定自定義包含“變量名=值”形式的環(huán)境變量配置文件；readenv=1/0：設(shè)置是否從readenv中讀入環(huán)境變量，缺省是1，也即讀入。配置實(shí)例：請(qǐng)參考/etc/pam.d/system-auth文件6pam_filter認(rèn)證模塊所屬類型：account, session, auth,password功能描述：該模塊提供對(duì)用戶和應(yīng)用程序交互內(nèi)容的訪問(wèn)控制功能，目前僅僅具有大小寫(xiě)轉(zhuǎn)換功能。該模塊還有待完善。7pam_ftp認(rèn)證模塊所屬類型：aut

10、h功能描述：該模塊提供匿名ftp用戶認(rèn)證機(jī)制?？蓭?shù)：debug：將調(diào)試信息寫(xiě)入日志users=xxx,yyy：指定采用該模塊進(jìn)行認(rèn)證的用戶名，缺省為ftp和anonymous，可以用逗號(hào)進(jìn)行分割；ignore：不對(duì)用戶輸入的密碼（郵件地址）進(jìn)行檢驗(yàn)8pam_group認(rèn)證模塊所屬類型：auth功能描述：該模塊沒(méi)有提供用戶認(rèn)證，而僅僅是授予該用戶指定組的組權(quán)限。其缺省的配置文件為/etc/security/groups.conf。Arraypam_issue認(rèn)證模塊所屬類型：auth功能描述：該模塊在用戶登錄時(shí)，將/etc/issue文件的內(nèi)容打印出來(lái)?？蓭?shù)：issue=filename

11、：指定其他配置文件，而不是缺省的/etc/issue.noesc：不對(duì)配置文件中的轉(zhuǎn)移字符進(jìn)行解釋。配置文件說(shuō)明：配置文件中可以使用形如x的轉(zhuǎn)移字符來(lái)實(shí)現(xiàn)特定的功能?？梢宰R(shí)別的轉(zhuǎn)移字符有：d：打印當(dāng)前日期s：打印操作系統(tǒng)名稱l：打印當(dāng)前tty名稱m：打印cpu類型（i686、sparc、powerpc等）：打印主機(jī)名o：打印域名：打印內(nèi)核版本號(hào)：打印當(dāng)前系統(tǒng)時(shí)間u：打印系統(tǒng)當(dāng)前在線用戶數(shù)u：同u，但是在用戶數(shù)后有users字樣v：打印系統(tǒng)安裝的日期配置文件實(shí)例：$ more /etc/issuewelcome totime: duser online: u10.pam_lastlog認(rèn)證模塊所

12、屬類型：auth功能描述：該模塊在用戶登錄時(shí)，打印最后登錄系統(tǒng)的信息（在/var/log/lastlog中），通常已經(jīng)有其他程序在作這個(gè)工作了，所以沒(méi)有必要使用該模塊。11.pam_limits認(rèn)證模塊所屬類型：session功能描述：該模塊限制用戶會(huì)話過(guò)程中系統(tǒng)資源的使用率。缺省的，該模塊的配置文件是/etc/security/limits.conf，可以使用conf參數(shù)指定自定義的配置文件?？蓭?shù)：issue=filename：指定其他配置文件，而不是缺省的/etc/issue.noesc：不對(duì)配置文件中的轉(zhuǎn)移字符進(jìn)行解釋。配置文件說(shuō)明：debug：將調(diào)試信息寫(xiě)入日志conf=filen

13、ame：指定配置文件配置文件說(shuō)明：該配置文件每一行（一個(gè)條目）的語(yǔ)法如下：在這里可以是用戶名用戶組名，采用group的語(yǔ)法通配符*，表示任何可以是soft表示軟限制，可以超過(guò)該限制hard表示硬限制，有root設(shè)定，內(nèi)核執(zhí)行，不可以超過(guò)該限制可以是corecore文件大小 (kb)data最大數(shù)據(jù)大小(kb)fsize最大文件大小(kb)memlock最大可用內(nèi)存空間(kb)nofile最大可以打開(kāi)的文件數(shù)量rss最大可駐留空間(kb)stack最大堆?？臻g(kb)cpu最大cpu使用時(shí)間（min）nproc最大運(yùn)行進(jìn)程數(shù)as地址空間限制maxlogins某一用戶可以登錄到系統(tǒng)的最多次數(shù)loc

14、ks最大鎖定文件數(shù)目需要注意的是，如果無(wú)限制可以使用”-”號(hào)，并且針對(duì)用戶限制的優(yōu)先級(jí)要比針對(duì)組的優(yōu)先級(jí)高。配置文件實(shí)例：* soft core 0* hard rss 10000student hard nproc 20faculty soft nproc 20faculty hard nproc 5012.pam_listfile認(rèn)證模塊所屬類型：auth功能描述：該模塊提供根據(jù)某種規(guī)則來(lái)對(duì)用戶進(jìn)行訪問(wèn)控制的功能。通常把訪問(wèn)控制規(guī)則放在一個(gè)文件中，可以用file參數(shù)指定該文件。一般可以根據(jù)用戶名、登錄tty名、rhost、ruser、所屬用戶組、登錄shell來(lái)對(duì)用戶訪問(wèn)進(jìn)行控制?？蓭?shù)

15、：item=tty|user|rhost|ruser|group|shell：定義所采用的規(guī)則；onerr=succeed|fail：定義當(dāng)出現(xiàn)錯(cuò)誤（比如無(wú)法打開(kāi)配置文件）時(shí)的缺省返回值；sense=allow|deny：定義當(dāng)再配置文件中找到符合條件的項(xiàng)目時(shí)的返回值；如果沒(méi)有找到符合條件的項(xiàng)目，則返回相反的值；file=filename：指定配置文件apply=user|group：定義采用非user和group的規(guī)則時(shí)，這些規(guī)則所應(yīng)用的對(duì)象。配置實(shí)例：比如/etc/pam.d/ftp:$ more /etc/pam.d/ftp#%pam-1.0auth required /lib/secu

16、rity/pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeedauth required /lib/security/pam_pwdb.so shadow nullok# this is disabled because anonymous logins will fail otherwise,# unless you give the ftp user a valid shell, or /bin/false and add# /bin/false to /etc/shells.#auth required

17、 /lib/security/pam_shells.soaccount required /lib/security/pam_pwdb.sosession required /lib/security/pam_pwdb.so該 配置文件的第一句，就指定了根據(jù)用戶名來(lái)對(duì)訪問(wèn)進(jìn)行控制（item=user）。配置文件為/etc/ftpaccess（file=/etc /ftpusers），當(dāng)?shù)卿浻脩舻挠脩裘谂浜衔募霈F(xiàn)時(shí)拒絕訪問(wèn)（sense=deny），當(dāng)配置文件中沒(méi)有符合的條目時(shí)允許其訪問(wèn) （onerr=succeed）。13.pam_mail認(rèn)證模塊所屬類型：auth，session功能描述：

18、檢查用戶的郵件目錄，查看該用戶是否有新郵件。通常已經(jīng)有其他程序在作這個(gè)工作了，所以沒(méi)有必要使用該模塊?？蓭?shù)：debug：將調(diào)試信息寫(xiě)入日志dir=pathname：用于指定用戶的郵箱路徑，通常是/var/spool/mail，如果是以開(kāi)頭表示該郵箱位于用戶的宿主目錄下。nopen：不向用戶提示郵件信息。close：總是向用戶提示郵件信息。noenv：不設(shè)置mail環(huán)境變量。empty：如果用戶郵箱為空，也向用戶提示郵件信息。quiet：即使用戶有新郵件也不向用戶提示。14.pam_mkhomedir認(rèn)證模塊所屬類型： session功能描述：在用戶登錄時(shí)為用戶興建宿主目錄，該功能在采用ld

19、ap或者數(shù)據(jù)庫(kù)存儲(chǔ)用戶數(shù)據(jù)時(shí)特別有用?？蓭?shù)：debug：將調(diào)試信息寫(xiě)入日志skel=dir：指定用戶包含初始化腳本的目錄；umask=octal：與umask命令一樣，設(shè)置用戶創(chuàng)建文件時(shí)預(yù)設(shè)的權(quán)限掩碼。15.pam_motd認(rèn)證模塊所屬類型： session功能描述：在用戶成功登錄系統(tǒng)后顯示message of today(今天的信息)，缺省是顯示/etc/motd文件的內(nèi)容，可以用motd參數(shù)指定不同的配置文件?？蓭?shù)：motd=filename：指定自定義的配置文件。16.pam_nologin認(rèn)證模塊所屬類型： auth功能描述：提供標(biāo)準(zhǔn)的unix nologin登錄認(rèn)證。如果/e

20、tc/nologin文件存在，則只有root用戶可以登錄，其他用戶登錄時(shí)只會(huì)得到/etc/nologin文件的內(nèi)容。如果/etc/nologin不存在，則該模塊沒(méi)有作用?？蓭?shù)：無(wú)17.pam_permit認(rèn)證模塊所屬類型： account; auth; password; session功能描述：使用該模塊具有很大的安全風(fēng)險(xiǎn)，該模塊的唯一功能就是允許用戶登錄?？蓭?shù)：無(wú)18.pam_pwdb認(rèn)證模塊所屬類型： account; auth; password; session功能描述：該模塊是標(biāo)準(zhǔn)unix認(rèn)證模塊pam_unix的替代模塊。在作為auth類型使用時(shí)，此時(shí)該模塊可識(shí)別的參數(shù)有

21、debug、audit、use_first_pass、try_first_pass、 nullok、nodelay，主要功能是驗(yàn)證用戶密碼的有效性，在缺省情況下（即不帶任何參數(shù)時(shí)），該模塊的主要功能是禁止密碼為空的用戶提供服務(wù)；在作為account類型使用時(shí)，此時(shí)該模塊可識(shí)別的參數(shù)有debug、audit，該模塊主要執(zhí)行建立用戶帳號(hào)和密碼狀態(tài)的任務(wù)，然后執(zhí)行提示用戶修改密碼，用戶采用新密碼后才提供服務(wù)之類的任務(wù)；在作為password類型使用時(shí)，此時(shí)該模塊可識(shí)別的參數(shù)有debug、 audit、 nullok;、not_set_pass、use_authtok、try_first_pass、u

22、se_first_pass、md5、 bigcrypt、shadow，該模塊完成讓用戶更改密碼的任務(wù)；在作為session類型使用時(shí)，此時(shí)該模塊沒(méi)有可識(shí)別的參數(shù)，該模塊僅僅完成記錄用戶名和服務(wù)名到日志文件的工作?？蓭?shù)：debug：將調(diào)試信息寫(xiě)入日志audit：記錄更為信息的信息nullok：缺省情況下，如果用戶輸入的密碼為空，則系統(tǒng)能夠不對(duì)其提供任何服務(wù)。但是如果使用參數(shù)，用戶不輸入密碼就可以獲得系統(tǒng)提供的服務(wù)。同時(shí)，也允許用戶密碼為空時(shí)更改用戶密碼。nodelay：當(dāng)用戶認(rèn)證失敗，系統(tǒng)在給出錯(cuò)誤信息時(shí)會(huì)有一個(gè)延遲，這個(gè)延遲是為了防止黑客猜測(cè)密碼，使用該參數(shù)時(shí)，系統(tǒng)將取消這個(gè)延遲。通常這是

23、一個(gè)1秒鐘的延遲。try_first_pass：在用作auth模塊時(shí)，該參數(shù)將嘗試在提示用戶輸入密碼前，使用前面一個(gè)堆疊的auth模塊提供的密碼認(rèn)證用戶；在作為password模塊使用時(shí)，該參數(shù)是為了防止用戶將密碼更新成使用以前的老密碼。use_first_pass：在用作auth模塊時(shí)，該參數(shù)將在提示用戶輸入密碼前，直接使用前面一個(gè)堆疊的auth模塊提供的密碼認(rèn)證用戶；在作為password模塊使用時(shí)，該參數(shù)用來(lái)防止用戶將密碼設(shè)置成為前面一個(gè)堆疊的password模塊所提供的密碼。no_set_pass：使密碼對(duì)前后堆疊的password模塊無(wú)效。use_authok：強(qiáng)制使用前面堆疊的pa

24、ssword模塊提供的密碼，比如由pam_cracklib模塊提供的新密碼。md5：采用md5對(duì)用戶密碼進(jìn)行加密。shadow：采用影子密碼。unix：當(dāng)用戶更改密碼時(shí)，密碼被放置在/etc/passwd中。bigcrype：采用dec c2算法加密用戶密碼。配置實(shí)例：參考/etc/pam.d/ftppam_rhosts_auth認(rèn)證模塊所屬類型： auth功能描述：該模塊為標(biāo)準(zhǔn)的網(wǎng)絡(luò)服務(wù)（諸如rlogin、rsh）提供認(rèn)證?？蓭?shù)：請(qǐng)參考pam文檔說(shuō)明20.pam_rootok認(rèn)證模塊所屬類型： auth功能描述：使用該模塊具有很大的安全風(fēng)險(xiǎn)，該模塊的唯一功能就是讓uid為0的用戶不需輸入

25、密碼就可以登錄系統(tǒng)?？蓭?shù)：無(wú)21.pam_securetty認(rèn)證模塊所屬類型： auth功能描述：該模塊用來(lái)控制root用戶只可以從包含在/etc/securetty文件中的終端登錄系統(tǒng)。22.pam_shell認(rèn)證模塊所屬類型： auth功能描述：如果用戶的shell在/etc/shells中列出，則允許用戶進(jìn)行驗(yàn)證，如果/etc/passwd中沒(méi)有指定shell，則缺省使用/bin/sh.23.pam_time認(rèn)證模塊所屬類型： account功能描述：對(duì)用戶訪問(wèn)服務(wù)提供時(shí)間控制，也就是說(shuō)，用來(lái)控制用戶可以訪問(wèn)服務(wù)的時(shí)間，配置文件為：/etc/security/pam.conf?？蓭?/p>

26、數(shù)：無(wú)配置文件說(shuō)明：每一行的構(gòu)成語(yǔ)法如下：services; ttys; users; timesservices：服務(wù)名稱ttys：規(guī)則生效的終端名，可以*號(hào)表示任何終端，！表示非。users：規(guī)則作用的用戶，可以*號(hào)表示任何用戶，！表示非。times：指定時(shí)間，通常使用日期時(shí)間格式。用兩個(gè)字母指定日期，比如motusa就是指星期一星期二和星期六。注意重復(fù)的部分將被排除在外，比如motumo就指星期二，mowk指除了星期一以外的每一天。兩個(gè)字母的組合有：mo tu we th fr sa su wk wd almo到su分別指從星期一到星期天，wk指每一天，wd指周末，al也指每一天。采用2

27、4小時(shí)制指定時(shí)間，也即采用hhmm的形式。比如mo1800-0300就是每個(gè)星期一的下午6點(diǎn)到第二天的凌晨3點(diǎn)。24.pam_unix認(rèn)證模塊所屬類型： account; auth; password; session功能描述：該模塊是標(biāo)準(zhǔn)unix認(rèn)證模塊pam_unix的替代模塊。在作為auth類型使用時(shí)，此時(shí)該模塊可識(shí)別的參數(shù)有debug、audit、use_first_pass、try_first_pass、 nullok、nodelay，主要功能是驗(yàn)證用戶密碼的有效性，在缺省情況下（即不帶任何參數(shù)時(shí)），該模塊的主要功能是禁止密碼為空的用戶提供服務(wù)；在作為account類型使用時(shí)，此時(shí)該

28、模塊可識(shí)別的參數(shù)有debug、audit，該模塊主要執(zhí)行建立用戶帳號(hào)和密碼狀態(tài)的任務(wù)，然后執(zhí)行提示用戶修改密碼，用戶采用新密碼后才提供服務(wù)之類的任務(wù)；在作為password類型使用時(shí)，此時(shí)該模塊可識(shí)別的參數(shù)有debug、 audit、 nullok;、not_set_pass、use_authtok、try_first_pass、use_first_pass、md5、 bigcrypt、shadow、nis、remember，該模塊完成讓用戶更改密碼的任務(wù)；在作為session類型使用時(shí)，此時(shí)該模塊沒(méi)有可識(shí)別的參數(shù)，該模塊僅僅完成記錄用戶名和服務(wù)名到日志文件的工作?？蓭?shù)：debug：將調(diào)試

29、信息寫(xiě)入日志audit：記錄更為信息的信息nullok：缺省情況下，如果用戶輸入的密碼為空，則系統(tǒng)能夠不對(duì)其提供任何服務(wù)。但是如果使用參數(shù)，用戶不輸入密碼就可以獲得系統(tǒng)提供的服務(wù)。同時(shí)，也允許用戶密碼為空時(shí)更改用戶密碼。nodelay：當(dāng)用戶認(rèn)證失敗，系統(tǒng)在給出錯(cuò)誤信息時(shí)會(huì)有一個(gè)延遲，這個(gè)延遲是為了防止黑客猜測(cè)密碼，使用該參數(shù)時(shí)，系統(tǒng)將取消這個(gè)延遲。通常這是一個(gè)1秒鐘的延遲。try_first_pass：在用作auth模塊時(shí)，該參數(shù)將嘗試在提示用戶輸入密碼前，使用前面一個(gè)堆疊的auth模塊提供的密碼認(rèn)證用戶；在作為password模塊使用時(shí)，該參數(shù)是為了防止用戶將密碼更新成使用以前的老密碼。use_first_pass：在用作auth模塊時(shí)，該參數(shù)將在提示用戶輸入密碼前，直接使用前面一個(gè)堆疊的auth模塊提供的密碼認(rèn)證用戶；在作為password模塊使用時(shí)，該參數(shù)用來(lái)防止用戶將密碼設(shè)置成為前面一個(gè)堆疊的password模塊所提供的密碼。no_set_pass：使密碼對(duì)前后堆疊的password模塊無(wú)效。use_authok：強(qiáng)制使用前面堆疊的password模塊提供的密碼，比如由pam_cracklib模塊提供的新密碼。md5：采用md5對(duì)用戶密碼進(jìn)行加密。shadow：采用影子密碼。unix：當(dāng)用戶更改密碼