常用PAM模塊簡介

1、轉(zhuǎn)載自“華夏名網(wǎng)” 常見的PAM認(rèn)證模塊簡介概述：本文介紹常見的pam認(rèn)證模塊，包括每一個模塊的所屬類型、功能描述以及可識別的參數(shù)，有配置文件的，我們給出了配置文件的簡單說明，其中一 部分模塊，我們還給出了配置實例。希望通過我們的介紹，使讀者對常用的pam認(rèn)證模塊有一定的了解。本文的介紹是基于redhat7.x系統(tǒng)。水平有限， 不足之處請讀者批評指正。1pam_access認(rèn)證模塊所屬類型：account功能描述：該模塊提供基于登錄用戶名、客戶ip/主機(jī)名、網(wǎng)絡(luò)號以及登錄終端號的訪問控制。缺省的，該模塊的配置文件是/etc/security/access.conf，可以使用accessfile

2、參數(shù)指定自定義的配置文件?？蓭?shù)：accessfile=/path/to/file.conf配置文件說明：該文件的每一行由如下三個字段構(gòu)成，中間使用冒號分割：權(quán)限 : 用戶 : 來源權(quán)限字段可以是”+”(即允許訪問),”-”(禁止訪問)；用戶字段可以是用戶名、組名以及諸如userhost格式的用戶名，all表示任何人，具有多個值時，可以用空格分開。來源字段可以是tty名稱（本地登錄時）、主機(jī)名、域名（以”.”開始）,主機(jī)ip地址，網(wǎng)絡(luò)號（以”.”結(jié)束）。all表示任何主機(jī)，local表示本地登錄?？梢允褂胑xcept操作符來表示除了之外。配置實例：只有bye2000可以從本地登錄主機(jī)。編輯/

3、etc/pam.d/login如下所示：#%pam-1.0auth required /lib/security/pam_securetty.soauth required /lib/security/pam_stack.so service=system-authauth required /lib/security/pam_nologin.soaccount required /lib/security/pam_stack.so service=system-authaccount required /lib/security/pam_access.sopassword required

4、/lib/security/pam_stack.so service=system-authsession required /lib/security/pam_stack.so service=system-authsession optional /lib/security/pam_console.so也即加上account required /lib/security/pam_access.so然后在/etc/security/access.conf中加上：-:all except bye2000 : local假如禁止root以外的任何人從任何地方登錄，可以在/etc/security

5、/access.conf中加上：-:all except root: all2pam_chroot認(rèn)證模塊所屬類型：account, session, auth功能描述：該模塊為一般用戶提供一個虛根環(huán)境，該模塊的配置文件是/etc/security/chroot.conf?？蓭?shù)：debug：將調(diào)試信息寫入日志onerr：定義當(dāng)配置文件無法打開、chroot()函數(shù)失敗以及配置文件中沒有用戶信息時的動作，缺省為”succeed”。附加說明：該模塊文檔不全，沒有對chroot.conf的相關(guān)配置說明。3pam_cracklib認(rèn)證模塊所屬類型：password功能描述：該模塊對用戶密碼提供強健

6、性檢測。換句話說，您可以定義用戶密碼的方方面面，比如密碼長度、密碼的復(fù)雜程度等等?？蓭?shù)：debug：將調(diào)試信息寫入日志type=xxx：添加/修改密碼時，系統(tǒng)的缺省提示符是” new unix password:”以及” retype unix password:”，使用該參數(shù)可以自定義提示符中的unix，比如指定type=your.retry=n：定義添加/修改密碼失敗時，可以重試的次數(shù)。difok=n：定義新密碼中必須有幾個字符要與舊密碼不同。但是如果新密碼中有1/2以上的字符與舊密碼不同時，該新密碼將被接受。minlen=n：定義密碼最小長度。dcredit=n：定義密碼中可以包含數(shù)

7、字的最大數(shù)目。ucredit=n：定義密碼中可以包含的大寫字母的最大數(shù)目。lcredit=n：定義密碼中可以包含的小寫字母的最大數(shù)目。ocredit=n：定義密碼中可以包含的其他字符（除數(shù)字、字母之外）的最大數(shù)目。配置實例：請參考/etc/pam.d/system-auth文件4pam_deny認(rèn)證模塊所屬類型：account, session, auth,password功能描述：該模塊僅僅返回一個錯誤。用來拒絕用戶訪問。通常該模塊被用來作為缺省的驗證規(guī)則?？蓭?shù)：無配置實例：請參考/etc/pam.d/system-auth文件5pam_env認(rèn)證模塊所屬類型： auth功能描述：該模塊

8、可以用來設(shè)置任意的環(huán)境變量，缺省的，該模塊的配置文件是/etc/security/pam_env.conf，可以使用conffile參數(shù)指定自定義的配置文件。配置文件說明：該配置文件每一行（一個條目）的語法如下：變量名 default=值 override=值選 項default說明這是一個缺省值；override則說明可以覆蓋缺省值。在該配置文件中，可以使用$變量名的形式應(yīng)用變量。除此之外，該模塊還 可以從/etc/environment文件中讀入形如“變量名=值”的環(huán)境變量，當(dāng)然該文件也可以用readenv參數(shù)自己指定。需要注意的是，該文件 的讀入的值，將覆蓋conffile文件中的缺省值

9、?？蓭?shù)：debug：將調(diào)試信息寫入日志conffile=filename：指定自定義的配置文件；readenv=filename：指定自定義包含“變量名=值”形式的環(huán)境變量配置文件；readenv=1/0：設(shè)置是否從readenv中讀入環(huán)境變量，缺省是1，也即讀入。配置實例：請參考/etc/pam.d/system-auth文件6pam_filter認(rèn)證模塊所屬類型：account, session, auth,password功能描述：該模塊提供對用戶和應(yīng)用程序交互內(nèi)容的訪問控制功能，目前僅僅具有大小寫轉(zhuǎn)換功能。該模塊還有待完善。7pam_ftp認(rèn)證模塊所屬類型：auth功能描述：該模塊

10、提供匿名ftp用戶認(rèn)證機(jī)制。可帶參數(shù)：debug：將調(diào)試信息寫入日志users=xxx,yyy：指定采用該模塊進(jìn)行認(rèn)證的用戶名，缺省為ftp和anonymous，可以用逗號進(jìn)行分割；ignore：不對用戶輸入的密碼（郵件地址）進(jìn)行檢驗8pam_group認(rèn)證模塊所屬類型：auth功能描述：該模塊沒有提供用戶認(rèn)證，而僅僅是授予該用戶指定組的組權(quán)限。其缺省的配置文件為/etc/security/groups.conf。Arraypam_issue認(rèn)證模塊所屬類型：auth功能描述：該模塊在用戶登錄時，將/etc/issue文件的內(nèi)容打印出來。可帶參數(shù)：issue=filename：指定其他配置文件

11、，而不是缺省的/etc/issue.noesc：不對配置文件中的轉(zhuǎn)移字符進(jìn)行解釋。配置文件說明：配置文件中可以使用形如x的轉(zhuǎn)移字符來實現(xiàn)特定的功能?？梢宰R別的轉(zhuǎn)移字符有：d：打印當(dāng)前日期s：打印操作系統(tǒng)名稱l：打印當(dāng)前tty名稱m：打印cpu類型（i686、sparc、powerpc等）：打印主機(jī)名o：打印域名：打印內(nèi)核版本號：打印當(dāng)前系統(tǒng)時間u：打印系統(tǒng)當(dāng)前在線用戶數(shù)u：同u，但是在用戶數(shù)后有users字樣v：打印系統(tǒng)安裝的日期配置文件實例：$ more /etc/issuewelcome totime: duser online: u10.pam_lastlog認(rèn)證模塊所屬類型：auth功

12、能描述：該模塊在用戶登錄時，打印最后登錄系統(tǒng)的信息（在/var/log/lastlog中），通常已經(jīng)有其他程序在作這個工作了，所以沒有必要使用該模塊。11.pam_limits認(rèn)證模塊所屬類型：session功能描述：該模塊限制用戶會話過程中系統(tǒng)資源的使用率。缺省的，該模塊的配置文件是/etc/security/limits.conf，可以使用conf參數(shù)指定自定義的配置文件?？蓭?shù)：issue=filename：指定其他配置文件，而不是缺省的/etc/issue.noesc：不對配置文件中的轉(zhuǎn)移字符進(jìn)行解釋。配置文件說明：debug：將調(diào)試信息寫入日志conf=filename：指定配置文

13、件配置文件說明：該配置文件每一行（一個條目）的語法如下：在這里可以是用戶名用戶組名，采用group的語法通配符*，表示任何可以是soft表示軟限制，可以超過該限制hard表示硬限制，有root設(shè)定，內(nèi)核執(zhí)行，不可以超過該限制可以是corecore文件大小 (kb)data最大數(shù)據(jù)大小(kb)fsize最大文件大小(kb)memlock最大可用內(nèi)存空間(kb)nofile最大可以打開的文件數(shù)量rss最大可駐留空間(kb)stack最大堆棧空間(kb)cpu最大cpu使用時間（min）nproc最大運行進(jìn)程數(shù)as地址空間限制maxlogins某一用戶可以登錄到系統(tǒng)的最多次數(shù)locks最大鎖定文件數(shù)

14、目需要注意的是，如果無限制可以使用”-”號，并且針對用戶限制的優(yōu)先級要比針對組的優(yōu)先級高。配置文件實例：* soft core 0* hard rss 10000student hard nproc 20faculty soft nproc 20faculty hard nproc 5012.pam_listfile認(rèn)證模塊所屬類型：auth功能描述：該模塊提供根據(jù)某種規(guī)則來對用戶進(jìn)行訪問控制的功能。通常把訪問控制規(guī)則放在一個文件中，可以用file參數(shù)指定該文件。一般可以根據(jù)用戶名、登錄tty名、rhost、ruser、所屬用戶組、登錄shell來對用戶訪問進(jìn)行控制。可帶參數(shù)：item=tty

15、|user|rhost|ruser|group|shell：定義所采用的規(guī)則；onerr=succeed|fail：定義當(dāng)出現(xiàn)錯誤（比如無法打開配置文件）時的缺省返回值；sense=allow|deny：定義當(dāng)再配置文件中找到符合條件的項目時的返回值；如果沒有找到符合條件的項目，則返回相反的值；file=filename：指定配置文件apply=user|group：定義采用非user和group的規(guī)則時，這些規(guī)則所應(yīng)用的對象。配置實例：比如/etc/pam.d/ftp:$ more /etc/pam.d/ftp#%pam-1.0auth required /lib/security/pam_

16、listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeedauth required /lib/security/pam_pwdb.so shadow nullok# this is disabled because anonymous logins will fail otherwise,# unless you give the ftp user a valid shell, or /bin/false and add# /bin/false to /etc/shells.#auth required /lib/sec

17、urity/pam_shells.soaccount required /lib/security/pam_pwdb.sosession required /lib/security/pam_pwdb.so該 配置文件的第一句，就指定了根據(jù)用戶名來對訪問進(jìn)行控制（item=user）。配置文件為/etc/ftpaccess（file=/etc /ftpusers），當(dāng)?shù)卿浻脩舻挠脩裘谂浜衔募霈F(xiàn)時拒絕訪問（sense=deny），當(dāng)配置文件中沒有符合的條目時允許其訪問 （onerr=succeed）。13.pam_mail認(rèn)證模塊所屬類型：auth，session功能描述：檢查用戶的郵件目錄

18、，查看該用戶是否有新郵件。通常已經(jīng)有其他程序在作這個工作了，所以沒有必要使用該模塊?？蓭?shù)：debug：將調(diào)試信息寫入日志dir=pathname：用于指定用戶的郵箱路徑，通常是/var/spool/mail，如果是以開頭表示該郵箱位于用戶的宿主目錄下。nopen：不向用戶提示郵件信息。close：總是向用戶提示郵件信息。noenv：不設(shè)置mail環(huán)境變量。empty：如果用戶郵箱為空，也向用戶提示郵件信息。quiet：即使用戶有新郵件也不向用戶提示。14.pam_mkhomedir認(rèn)證模塊所屬類型： session功能描述：在用戶登錄時為用戶興建宿主目錄，該功能在采用ldap或者數(shù)據(jù)庫存儲

19、用戶數(shù)據(jù)時特別有用。可帶參數(shù)：debug：將調(diào)試信息寫入日志skel=dir：指定用戶包含初始化腳本的目錄；umask=octal：與umask命令一樣，設(shè)置用戶創(chuàng)建文件時預(yù)設(shè)的權(quán)限掩碼。15.pam_motd認(rèn)證模塊所屬類型： session功能描述：在用戶成功登錄系統(tǒng)后顯示message of today(今天的信息)，缺省是顯示/etc/motd文件的內(nèi)容，可以用motd參數(shù)指定不同的配置文件?？蓭?shù)：motd=filename：指定自定義的配置文件。16.pam_nologin認(rèn)證模塊所屬類型： auth功能描述：提供標(biāo)準(zhǔn)的unix nologin登錄認(rèn)證。如果/etc/nologi

20、n文件存在，則只有root用戶可以登錄，其他用戶登錄時只會得到/etc/nologin文件的內(nèi)容。如果/etc/nologin不存在，則該模塊沒有作用?？蓭?shù)：無17.pam_permit認(rèn)證模塊所屬類型： account; auth; password; session功能描述：使用該模塊具有很大的安全風(fēng)險，該模塊的唯一功能就是允許用戶登錄?？蓭?shù)：無18.pam_pwdb認(rèn)證模塊所屬類型： account; auth; password; session功能描述：該模塊是標(biāo)準(zhǔn)unix認(rèn)證模塊pam_unix的替代模塊。在作為auth類型使用時，此時該模塊可識別的參數(shù)有debug、aud

21、it、use_first_pass、try_first_pass、 nullok、nodelay，主要功能是驗證用戶密碼的有效性，在缺省情況下（即不帶任何參數(shù)時），該模塊的主要功能是禁止密碼為空的用戶提供服務(wù)；在作為account類型使用時，此時該模塊可識別的參數(shù)有debug、audit，該模塊主要執(zhí)行建立用戶帳號和密碼狀態(tài)的任務(wù)，然后執(zhí)行提示用戶修改密碼，用戶采用新密碼后才提供服務(wù)之類的任務(wù)；在作為password類型使用時，此時該模塊可識別的參數(shù)有debug、 audit、 nullok;、not_set_pass、use_authtok、try_first_pass、use_first_

22、pass、md5、 bigcrypt、shadow，該模塊完成讓用戶更改密碼的任務(wù)；在作為session類型使用時，此時該模塊沒有可識別的參數(shù)，該模塊僅僅完成記錄用戶名和服務(wù)名到日志文件的工作。可帶參數(shù)：debug：將調(diào)試信息寫入日志audit：記錄更為信息的信息nullok：缺省情況下，如果用戶輸入的密碼為空，則系統(tǒng)能夠不對其提供任何服務(wù)。但是如果使用參數(shù)，用戶不輸入密碼就可以獲得系統(tǒng)提供的服務(wù)。同時，也允許用戶密碼為空時更改用戶密碼。nodelay：當(dāng)用戶認(rèn)證失敗，系統(tǒng)在給出錯誤信息時會有一個延遲，這個延遲是為了防止黑客猜測密碼，使用該參數(shù)時，系統(tǒng)將取消這個延遲。通常這是一個1秒鐘的延遲。

23、try_first_pass：在用作auth模塊時，該參數(shù)將嘗試在提示用戶輸入密碼前，使用前面一個堆疊的auth模塊提供的密碼認(rèn)證用戶；在作為password模塊使用時，該參數(shù)是為了防止用戶將密碼更新成使用以前的老密碼。use_first_pass：在用作auth模塊時，該參數(shù)將在提示用戶輸入密碼前，直接使用前面一個堆疊的auth模塊提供的密碼認(rèn)證用戶；在作為password模塊使用時，該參數(shù)用來防止用戶將密碼設(shè)置成為前面一個堆疊的password模塊所提供的密碼。no_set_pass：使密碼對前后堆疊的password模塊無效。use_authok：強制使用前面堆疊的password模塊提

24、供的密碼，比如由pam_cracklib模塊提供的新密碼。md5：采用md5對用戶密碼進(jìn)行加密。shadow：采用影子密碼。unix：當(dāng)用戶更改密碼時，密碼被放置在/etc/passwd中。bigcrype：采用dec c2算法加密用戶密碼。配置實例：參考/etc/pam.d/ftppam_rhosts_auth認(rèn)證模塊所屬類型： auth功能描述：該模塊為標(biāo)準(zhǔn)的網(wǎng)絡(luò)服務(wù)（諸如rlogin、rsh）提供認(rèn)證?？蓭?shù)：請參考pam文檔說明20.pam_rootok認(rèn)證模塊所屬類型： auth功能描述：使用該模塊具有很大的安全風(fēng)險，該模塊的唯一功能就是讓uid為0的用戶不需輸入密碼就可以登錄系統(tǒng)

25、?？蓭?shù)：無21.pam_securetty認(rèn)證模塊所屬類型： auth功能描述：該模塊用來控制root用戶只可以從包含在/etc/securetty文件中的終端登錄系統(tǒng)。22.pam_shell認(rèn)證模塊所屬類型： auth功能描述：如果用戶的shell在/etc/shells中列出，則允許用戶進(jìn)行驗證，如果/etc/passwd中沒有指定shell，則缺省使用/bin/sh.23.pam_time認(rèn)證模塊所屬類型： account功能描述：對用戶訪問服務(wù)提供時間控制，也就是說，用來控制用戶可以訪問服務(wù)的時間，配置文件為：/etc/security/pam.conf。可帶參數(shù)：無配置文件說明

26、：每一行的構(gòu)成語法如下：services; ttys; users; timesservices：服務(wù)名稱ttys：規(guī)則生效的終端名，可以*號表示任何終端，！表示非。users：規(guī)則作用的用戶，可以*號表示任何用戶，！表示非。times：指定時間，通常使用日期時間格式。用兩個字母指定日期，比如motusa就是指星期一星期二和星期六。注意重復(fù)的部分將被排除在外，比如motumo就指星期二，mowk指除了星期一以外的每一天。兩個字母的組合有：mo tu we th fr sa su wk wd almo到su分別指從星期一到星期天，wk指每一天，wd指周末，al也指每一天。采用24小時制指定時間，

27、也即采用hhmm的形式。比如mo1800-0300就是每個星期一的下午6點到第二天的凌晨3點。24.pam_unix認(rèn)證模塊所屬類型： account; auth; password; session功能描述：該模塊是標(biāo)準(zhǔn)unix認(rèn)證模塊pam_unix的替代模塊。在作為auth類型使用時，此時該模塊可識別的參數(shù)有debug、audit、use_first_pass、try_first_pass、 nullok、nodelay，主要功能是驗證用戶密碼的有效性，在缺省情況下（即不帶任何參數(shù)時），該模塊的主要功能是禁止密碼為空的用戶提供服務(wù)；在作為account類型使用時，此時該模塊可識別的參數(shù)有

28、debug、audit，該模塊主要執(zhí)行建立用戶帳號和密碼狀態(tài)的任務(wù)，然后執(zhí)行提示用戶修改密碼，用戶采用新密碼后才提供服務(wù)之類的任務(wù)；在作為password類型使用時，此時該模塊可識別的參數(shù)有debug、 audit、 nullok;、not_set_pass、use_authtok、try_first_pass、use_first_pass、md5、 bigcrypt、shadow、nis、remember，該模塊完成讓用戶更改密碼的任務(wù)；在作為session類型使用時，此時該模塊沒有可識別的參數(shù)，該模塊僅僅完成記錄用戶名和服務(wù)名到日志文件的工作。可帶參數(shù)：debug：將調(diào)試信息寫入日志aud

29、it：記錄更為信息的信息nullok：缺省情況下，如果用戶輸入的密碼為空，則系統(tǒng)能夠不對其提供任何服務(wù)。但是如果使用參數(shù)，用戶不輸入密碼就可以獲得系統(tǒng)提供的服務(wù)。同時，也允許用戶密碼為空時更改用戶密碼。nodelay：當(dāng)用戶認(rèn)證失敗，系統(tǒng)在給出錯誤信息時會有一個延遲，這個延遲是為了防止黑客猜測密碼，使用該參數(shù)時，系統(tǒng)將取消這個延遲。通常這是一個1秒鐘的延遲。try_first_pass：在用作auth模塊時，該參數(shù)將嘗試在提示用戶輸入密碼前，使用前面一個堆疊的auth模塊提供的密碼認(rèn)證用戶；在作為password模塊使用時，該參數(shù)是為了防止用戶將密碼更新成使用以前的老密碼。use_first_pass：在用作auth模塊時，該參數(shù)將在提示用戶輸入密碼前，直接使用前面一個堆疊的auth模塊提供的密碼認(rèn)證用戶；在作為password模塊使用時，該參數(shù)用來防止用戶將密碼設(shè)置成為前面一個堆疊的password模塊所提供的密碼。no_set_pass：使密碼對前后堆疊的password模塊無效。use_authok：強制使用前面堆疊的password模塊提供的密碼，比如由pam_cracklib模塊提供的新密碼。md5：采用md5對用戶密碼進(jìn)行加密。shadow：采用影子密碼。unix：