常用PAM模塊簡介常用PAM模塊簡介/NUMPAGES23常用PAM模塊簡介常用PAM模塊簡介轉(zhuǎn)載自“華夏名網(wǎng)”常見的PAM認(rèn)證模塊簡介概述：本文介紹常見的pam認(rèn)證模塊，包括每一個(gè)模塊的所屬類型、功能描述以及可識(shí)別的參數(shù)，有配置文件的，我們給出了配置文件的簡單說明，其中一部分模塊，我們還給出了配置實(shí)例。希望通過我們的介紹，使讀者對(duì)常用的pam認(rèn)證模塊有一定的了解。本文的介紹是基于redhat7.x系統(tǒng)。水平有限，不足之處請(qǐng)讀者批評(píng)指正。1．pam_access認(rèn)證模塊所屬類型：account功能描述：該模塊提供基于登錄用戶名、客戶ip/主機(jī)名、網(wǎng)絡(luò)號(hào)以及登錄終端號(hào)的訪問控制。缺省的，該模塊的配置文件是/etc/security/access.conf，可以使用accessfile參數(shù)指定自定義的配置文件。可帶參數(shù)：accessfile=/path/to/file.conf配置文件說明：

該文件的每一行由如下三個(gè)字段構(gòu)成，中間使用冒號(hào)分割：

權(quán)限:用戶:來源

權(quán)限字段可以是”+”(即允許訪問),”-”(禁止訪問)；

用戶字段可以是用戶名、組名以及諸如user@host格式的用戶名，all表示任何人，

具有多個(gè)值時(shí)，可以用空格分開。

來源字段可以是tty名稱（本地登錄時(shí)）、主機(jī)名、域名（以”.”開始）,主機(jī)ip地址，網(wǎng)絡(luò)號(hào)（以”.”結(jié)束）。all表示任何主機(jī)，local表示本地登錄。

可以使用except操作符來表示除了…之外。配置實(shí)例：

只有bye2000可以從本地登錄主機(jī)。

編輯/etc/pam.d/login如下所示：

#%pam-1.0

authrequired/lib/security/pam_securetty.so

authrequired/lib/security/pam_stack.soservice=system-auth

authrequired/lib/security/pam_nologin.so

accountrequired/lib/security/pam_stack.soservice=system-auth

accountrequired/lib/security/pam_access.so

passwordrequired/lib/security/pam_stack.soservice=system-auth

sessionrequired/lib/security/pam_stack.soservice=system-auth

sessionoptional/lib/security/pam_console.so

也即加上

accountrequired/lib/security/pam_access.so

然后在/etc/security/access.conf中加上：

-:allexceptbye2000:local

假如禁止root以外的任何人從任何地方登錄，可以在/etc/security/access.conf中加上：

-:allexceptroot:all2．pam_chroot認(rèn)證模塊所屬類型：account,session,auth功能描述：該模塊為一般用戶提供一個(gè)虛根環(huán)境，該模塊的配置文件是/etc/security/chroot.conf。可帶參數(shù)：

debug：將調(diào)試信息寫入日志

onerr：定義當(dāng)配置文件無法打開、chroot()函數(shù)失敗以及配置文件中沒有用戶信息時(shí)的動(dòng)作，缺省為”succeed”。附加說明：該模塊文檔不全，沒有對(duì)chroot.conf的相關(guān)配置說明。3．pam_cracklib認(rèn)證模塊所屬類型：password功能描述：該模塊對(duì)用戶密碼提供強(qiáng)健性檢測。換句話說，您可以定義用戶密碼的方方面面，比如密碼長度、密碼的復(fù)雜程度等等。可帶參數(shù)：

debug：將調(diào)試信息寫入日志

type=xxx：添加/修改密碼時(shí)，系統(tǒng)的缺省提示符是”newunixpassword:”以及”retypeunixpassword:”，使用該參數(shù)可以自定義提示符中的unix，比如指定type=your.

retry=n：定義添加/修改密碼失敗時(shí)，可以重試的次數(shù)。

difok=n：定義新密碼中必須有幾個(gè)字符要與舊密碼不同。但是如果新密碼中有1/2以上的字符與舊密碼不同時(shí)，該新密碼將被接受。

minlen=n：定義密碼最小長度。

dcredit=n：定義密碼中可以包含數(shù)字的最大數(shù)目。

ucredit=n：定義密碼中可以包含的大寫字母的最大數(shù)目。

lcredit=n：定義密碼中可以包含的小寫字母的最大數(shù)目。

ocredit=n：定義密碼中可以包含的其他字符（除數(shù)字、字母之外）的最大數(shù)目。配置實(shí)例：

請(qǐng)參考/etc/pam.d/system-auth文件4．pam_deny認(rèn)證模塊所屬類型：account,session,auth,password功能描述：該模塊僅僅返回一個(gè)錯(cuò)誤。用來拒絕用戶訪問。通常該模塊被用來作為缺省的驗(yàn)證規(guī)則?？蓭?shù)：無配置實(shí)例：

請(qǐng)參考/etc/pam.d/system-auth文件5．pam_env認(rèn)證模塊

所屬類型：auth功能描述：該模塊可以用來設(shè)置任意的環(huán)境變量，缺省的，該模塊的配置文件是/etc/security/pam_env.conf，可以使用conffile參數(shù)指定自定義的配置文件。配置文件說明：該配置文件每一行（一個(gè)條目）的語法如下：

變量名[default=[值]][override=[值]]

選項(xiàng)default說明這是一個(gè)缺省值；override則說明可以覆蓋缺省值。在該配置文件中，可以使用${變量名}的形式應(yīng)用變量。除此之外，該模塊還可以從/etc/environment文件中讀入形如“變量名=值”的環(huán)境變量，當(dāng)然該文件也可以用readenv參數(shù)自己指定。需要注意的是，該文件的讀入的值，將覆蓋conffile文件中的缺省值?？蓭?shù)：

debug：將調(diào)試信息寫入日志

conffile=filename：指定自定義的配置文件；

readenv=filename：指定自定義包含“變量名=值”形式的環(huán)境變量配置文件；

readenv=1/0：設(shè)置是否從readenv中讀入環(huán)境變量，缺省是1，也即讀入。配置實(shí)例：

請(qǐng)參考/etc/pam.d/system-auth文件6．pam_filter認(rèn)證模塊所屬類型：account,session,auth,password功能描述：該模塊提供對(duì)用戶和應(yīng)用程序交互內(nèi)容的訪問控制功能，目前僅僅具有大小寫轉(zhuǎn)換功能。該模塊還有待完善。7．pam_ftp認(rèn)證模塊所屬類型：auth功能描述：該模塊提供匿名ftp用戶認(rèn)證機(jī)制?？蓭?shù)：

debug：將調(diào)試信息寫入日志

users=xxx,yyy：指定采用該模塊進(jìn)行認(rèn)證的用戶名，缺省為ftp和anonymous，可以用逗號(hào)進(jìn)行分割；ignore：不對(duì)用戶輸入的密碼（郵件地址）進(jìn)行檢驗(yàn)8．pam_group認(rèn)證模塊所屬類型：auth功能描述：該模塊沒有提供用戶認(rèn)證，而僅僅是授予該用戶指定組的組權(quán)限。其缺省的配置文件為/etc/security/groups.conf。Array．pam_issue認(rèn)證模塊所屬類型：auth功能描述：該模塊在用戶登錄時(shí)，將/etc/issue文件的內(nèi)容打印出來?？蓭?shù)：

issue=filename：指定其他配置文件，而不是缺省的/etc/issue.

noesc：不對(duì)配置文件中的轉(zhuǎn)移字符進(jìn)行解釋。配置文件說明：

配置文件中可以使用形如x的轉(zhuǎn)移字符來實(shí)現(xiàn)特定的功能?？梢宰R(shí)別的轉(zhuǎn)移字符有：

d：打印當(dāng)前日期

s：打印操作系統(tǒng)名稱

l：打印當(dāng)前tty名稱

m：打印cpu類型（i686、sparc、powerpc等）

：打印主機(jī)名

o：打印域名：打印內(nèi)核版本號(hào)

：打印當(dāng)前系統(tǒng)時(shí)間

u：打印系統(tǒng)當(dāng)前在線用戶數(shù)

u：同u，但是在用戶數(shù)后有users字樣

v：打印系統(tǒng)安裝的日期配置文件實(shí)例：

$more/etc/issuewelcometotime:d

useronline:u10.pam_lastlog認(rèn)證模塊所屬類型：auth功能描述：該模塊在用戶登錄時(shí)，打印最后登錄系統(tǒng)的信息（在/var/log/lastlog中），通常已經(jīng)有其他程序在作這個(gè)工作了，所以沒有必要使用該模塊。

11.pam_limits認(rèn)證模塊所屬類型：session功能描述：該模塊限制用戶會(huì)話過程中系統(tǒng)資源的使用率。缺省的，該模塊的配置文件是/etc/security/limits.conf，可以使用conf參數(shù)指定自定義的配置文件?？蓭?shù)：

issue=filename：指定其他配置文件，而不是缺省的/etc/issue.

noesc：不對(duì)配置文件中的轉(zhuǎn)移字符進(jìn)行解釋。配置文件說明：

debug：將調(diào)試信息寫入日志

conf=filename：指定配置文件配置文件說明：該配置文件每一行（一個(gè)條目）的語法如下：在這里

可以是

用戶名

用戶組名，采用@group的語法

通配符*，表示任何

可以是

soft－表示軟限制，可以超過該限制

hard－表示硬限制，有root設(shè)定，內(nèi)核執(zhí)行，不可以超過該限制

可以是

core－core文件大小(kb)

data－最大數(shù)據(jù)大小(kb)

fsize－最大文件大小(kb)

memlock－最大可用內(nèi)存空間(kb)

nofile－最大可以打開的文件數(shù)量

rss－最大可駐留空間(kb)

stack－最大堆棧空間(kb)

cpu－最大cpu使用時(shí)間（min）

nproc－最大運(yùn)行進(jìn)程數(shù)

as－地址空間限制

maxlogins－某一用戶可以登錄到系統(tǒng)的最多次數(shù)

locks－最大鎖定文件數(shù)目

需要注意的是，如果無限制可以使用”-”號(hào)，并且針對(duì)用戶限制的優(yōu)先級(jí)要比針對(duì)組的

優(yōu)先級(jí)高。配置文件實(shí)例：

*softcore0

*hardrss10000

@studenthardnproc20

@facultysoftnproc20

@facultyhardnproc5012.pam_listfile認(rèn)證模塊所屬類型：auth功能描述：該模塊提供根據(jù)某種規(guī)則來對(duì)用戶進(jìn)行訪問控制的功能。通常把訪問控制規(guī)則放在一個(gè)文件中，可以用file參數(shù)指定該文件。一般可以根據(jù)用戶名、登錄tty名、rhost、ruser、所屬用戶組、登錄shell來對(duì)用戶訪問進(jìn)行控制?？蓭?shù)：

item=[tty|user|rhost|ruser|group|shell]：定義所采用的規(guī)則；

onerr=succeed|fail：定義當(dāng)出現(xiàn)錯(cuò)誤（比如無法打開配置文件）時(shí)的缺省返回值；

sense=allow|deny：定義當(dāng)再配置文件中找到符合條件的項(xiàng)目時(shí)的返回值；如果沒有找到符合條件的項(xiàng)目，則返回相反的值；

file=filename：指定配置文件

apply=user|@group：定義采用非user和group的規(guī)則時(shí)，這些規(guī)則所應(yīng)用的對(duì)象。配置實(shí)例：

比如/etc/pam.d/ftp:

$more/etc/pam.d/ftp

#%pam-1.0

authrequired/lib/security/pam_listfile.soitem=usersense=denyfile=

/etc/ftpusersonerr=succeed

authrequired/lib/security/pam_pwdb.soshadownullok

#thisisdisabledbecauseanonymousloginswillfailotherwise,

#unlessyougivetheftpuseravalidshell,or/bin/falseandadd

#/bin/falseto/etc/shells.

#authrequired/lib/security/pam_shells.so

accountrequired/lib/security/pam_pwdb.so

sessionrequired/lib/security/pam_pwdb.so

該配置文件的第一句，就指定了根據(jù)用戶名來對(duì)訪問進(jìn)行控制（item=user）。配置文件為/etc/ftpaccess（file=/etc/ftpusers），當(dāng)?shù)卿浻脩舻挠脩裘谂浜衔募霈F(xiàn)時(shí)拒絕訪問（sense=deny），當(dāng)配置文件中沒有符合的條目時(shí)允許其訪問（onerr=succeed）。13.pam_mail認(rèn)證模塊所屬類型：auth，session功能描述：檢查用戶的郵件目錄，查看該用戶是否有新郵件。通常已經(jīng)有其他程序在作這個(gè)工作了，所以沒有必要使用該模塊?？蓭?shù)：

debug：將調(diào)試信息寫入日志

dir=pathname：用于指定用戶的郵箱路徑，通常是/var/spool/mail，如果是以~開頭表示該郵箱位于用戶的宿主目錄下。

nopen：不向用戶提示郵件信息。

close：總是向用戶提示郵件信息。

noenv：不設(shè)置mail環(huán)境變量。

empty：如果用戶郵箱為空，也向用戶提示郵件信息。

quiet：即使用戶有新郵件也不向用戶提示。

14.pam_mkhomedir認(rèn)證模塊所屬類型：session功能描述：在用戶登錄時(shí)為用戶興建宿主目錄，該功能在采用ldap或者數(shù)據(jù)庫存儲(chǔ)用戶數(shù)據(jù)時(shí)特別有用?？蓭?shù)：

debug：將調(diào)試信息寫入日志

skel=dir：指定用戶包含初始化腳本的目錄；

umask=octal：與umask命令一樣，設(shè)置用戶創(chuàng)建文件時(shí)預(yù)設(shè)的權(quán)限掩碼。15.pam_motd認(rèn)證模塊所屬類型：session功能描述：在用戶成功登錄系統(tǒng)后顯示messageoftoday(今天的信息)，缺省是顯示/etc/motd文件的內(nèi)容，可以用motd參數(shù)指定不同的配置文件?？蓭?shù)：

motd=filename：指定自定義的配置文件。16.pam_nologin認(rèn)證模塊所屬類型：auth功能描述：提供標(biāo)準(zhǔn)的unixnologin登錄認(rèn)證。如果/etc/nologin文件存在，則只有root用戶可以登錄，其他用戶登錄時(shí)只會(huì)得到/etc/nologin文件的內(nèi)容。如果/etc/nologin不存在，則該模塊沒有作用?？蓭?shù)：無17.pam_permit認(rèn)證模塊所屬類型：account;auth;password;session功能描述：使用該模塊具有很大的安全風(fēng)險(xiǎn)，該模塊的唯一功能就是允許用戶登錄?？蓭?shù)：無18.pam_pwdb認(rèn)證模塊所屬類型：account;auth;password;session功能描述：該模塊是標(biāo)準(zhǔn)unix認(rèn)證模塊pam_unix的替代模塊。在作為auth類型使用時(shí)，此時(shí)該模塊可識(shí)別的參數(shù)有debug、audit、use_first_pass、try_first_pass、nullok、nodelay，主要功能是驗(yàn)證用戶密碼的有效性，在缺省情況下（即不帶任何參數(shù)時(shí)），該模塊的主要功能是禁止密碼為空的用戶提供服務(wù)；在作為account類型使用時(shí)，此時(shí)該模塊可識(shí)別的參數(shù)有debug、audit，該模塊主要執(zhí)行建立用戶帳號(hào)和密碼狀態(tài)的任務(wù)，然后執(zhí)行提示用戶修改密碼，用戶采用新密碼后才提供服務(wù)之類的任務(wù)；在作為password類型使用時(shí)，此時(shí)該模塊可識(shí)別的參數(shù)有debug、audit、nullok;、not_set_pass、use_authtok、try_first_pass、use_first_pass、md5、bigcrypt、shadow，該模塊完成讓用戶更改密碼的任務(wù)；在作為session類型使用時(shí)，此時(shí)該模塊沒有可識(shí)別的參數(shù)，該模塊僅僅完成記錄用戶名和服務(wù)名到日志文件的工作?？蓭?shù)：

debug：將調(diào)試信息寫入日志

audit：記錄更為信息的信息

nullok：缺省情況下，如果用戶輸入的密碼為空，則系統(tǒng)能夠不對(duì)其提供任何服務(wù)。但是如果使用參數(shù)，用戶不輸入密碼就可以獲得系統(tǒng)提供的服務(wù)。同時(shí)，也允許用戶密碼為空時(shí)更改用戶密碼。

nodelay：當(dāng)用戶認(rèn)證失敗，系統(tǒng)在給出錯(cuò)誤信息時(shí)會(huì)有一個(gè)延遲，這個(gè)延遲是為了防止

黑客猜測密碼，使用該參數(shù)時(shí)，系統(tǒng)將取消這個(gè)延遲。通常這是一個(gè)1秒鐘的延遲。

try_first_pass：在用作auth模塊時(shí)，該參數(shù)將嘗試在提示用戶輸入密碼前，使用前面一個(gè)堆疊的auth模塊提供的密碼認(rèn)證用戶；在作為password模塊使用時(shí)，該參數(shù)是為了防止用戶將密碼更新成使用以前的老密碼。

use_first_pass：在用作auth模塊時(shí)，該參數(shù)將在提示用戶輸入密碼前，直接使用前面一個(gè)堆疊的auth模塊提供的密碼認(rèn)證用戶；在作為password模塊使用時(shí)，該參數(shù)用來防止用戶將密碼設(shè)置成為前面一個(gè)堆疊的password模塊所提供的密碼。

no_set_pass：使密碼對(duì)前后堆疊的password模塊無效。

use_authok：強(qiáng)制使用前面堆疊的password模塊提供的密碼，比如由pam_cracklib模塊提供的新密碼。

md5：采用md5對(duì)用戶密碼進(jìn)行加密。

shadow：采用影子密碼。

unix：當(dāng)用戶更改密碼時(shí)，密碼被放置在/etc/passwd中。

bigcrype：采用decc2算法加密用戶密碼。配置實(shí)例：

參考/etc/pam.d/ftppam_rhosts_auth認(rèn)證模塊所屬類型：auth功能描述：該模塊為標(biāo)準(zhǔn)的網(wǎng)絡(luò)服務(wù)（諸如rlogin、rsh）提供認(rèn)證?？蓭?shù)：請(qǐng)參考pam文檔說明20.pam_rootok認(rèn)證模塊所屬類型：auth功能描述：使用該模塊具有很大的安全風(fēng)險(xiǎn)，該模塊的唯一功能就是讓uid為0的用戶不需輸入密碼就可以登錄系統(tǒng)?？蓭?shù)：無21.pam_securetty認(rèn)證模塊所屬類型：auth功能描述：該模塊用來控制root用戶只可以從包含在/etc/securetty文件中的終端登錄系統(tǒng)。22.pam_shell認(rèn)證模塊所屬類型：auth功能描述：如果用戶的shell在/etc/shells中列出，則允許用戶進(jìn)行驗(yàn)證，如果/etc/passwd中沒有指定shell，則缺省使用/bin/sh.23.pam_time認(rèn)證模塊所屬類型：account功能描述：對(duì)用戶訪問服務(wù)提供時(shí)間控制，也就是說，用來控制用戶可以訪問服務(wù)的時(shí)間，配置文件為：/etc/security/pam.conf?？蓭?shù)：無配置文件說明：

每一行的構(gòu)成語法如下：

services;ttys;users;times

services：服務(wù)名稱

ttys：規(guī)則生效的終端名，可以*號(hào)表示任何終端，！表示非。

users：規(guī)則作用的用戶，可以*號(hào)表示任何用戶，！表示非。

times：指定時(shí)間，通常使用日期時(shí)間格式。用兩個(gè)字母指定日期，比如motusa就是指星期一星期二和星期六。注意重復(fù)的部分將被排除在外，比如motumo就指星期二，mowk指除了星期一以外的每一天。兩個(gè)字母的組合有：

motuwethfrsasuwkwdal

mo到su分別指從星期一到星期天，wk指每一天，wd指周末，al也指每一天。

采用24小時(shí)制指定時(shí)間，也即采用hhmm的形式。比如mo1800-0300就是每個(gè)星期一的下午6點(diǎn)到第二天的凌晨3點(diǎn)。24.pam_unix認(rèn)證模塊所屬類型：account;auth;password;session功能描述：該模塊是標(biāo)準(zhǔn)unix認(rèn)證模塊pam_unix的替代模塊。在作為auth類型使用時(shí)，此時(shí)該模塊可識(shí)別的參數(shù)有debug、audit、use_first_pass、try_first_pass、nullok、nodelay，主要功能是驗(yàn)證用戶密碼的有效性，在缺省情況下（即不帶任何參數(shù)時(shí)），該模塊的主要功能是禁止密碼為空的用戶提供服務(wù)；在作為account類型使用時(shí)，此時(shí)該模塊可識(shí)別的參數(shù)有debug、audit，該模塊主要執(zhí)行建立用戶帳號(hào)和密碼狀態(tài)的任務(wù)，然后執(zhí)行提示用戶修改密碼，用戶采用新密碼后才提供服務(wù)之類的任務(wù)；在作為password類型使用時(shí)，此時(shí)該模塊可識(shí)別的參數(shù)有debug、audit、nullok;、not_set_pass、use_authtok、try_first_pass、use_first_pass、md5、bigcrypt、shadow、nis、

remember，該模塊完成讓用戶更改密碼的任務(wù)；在作為session類型使用時(shí)，此時(shí)該模塊沒有可識(shí)別的參數(shù)，該模塊僅僅完成記錄用戶名和服務(wù)名到日志文件的工作?？蓭?shù)：

debug：將調(diào)試信息寫入日志

audit：記錄更為信息的信息

nullok：缺省情況下，如果用戶輸入的密碼為空，則系統(tǒng)能夠不對(duì)其提供任何服務(wù)。但是如果使用參數(shù)，用戶不輸入密碼就可以獲得系統(tǒng)提供的服務(wù)。同時(shí)，也允許用戶密碼為空時(shí)更改用戶密碼。

nodelay：當(dāng)用戶認(rèn)證失敗，系統(tǒng)在給出錯(cuò)誤信息時(shí)會(huì)有一個(gè)延遲，這個(gè)延遲是為了防止

黑客猜測密碼，使用該參數(shù)時(shí)，系統(tǒng)將取消這個(gè)延遲。通常這是一個(gè)1秒鐘的延遲。

try_first_pass：在用作auth模塊時(shí)，該參數(shù)將嘗試在提示用戶輸入密碼前，使用前面一個(gè)堆疊的auth模塊提供的密碼認(rèn)證用戶；在作為password模塊使用時(shí)，該參數(shù)是為了防止用戶將密碼更新成使用以前的老密碼。

use_first_pass：在用作auth模塊時(shí)，該參數(shù)將在提示用戶輸入密碼前，直接使用前面一個(gè)堆疊的auth模塊提供的密碼認(rèn)證用戶；在作為password模塊使用時(shí)，該參數(shù)用來防止用戶將密碼設(shè)置成為前面一個(gè)堆疊的password模塊所提供的密碼。

no_set_pass：使密碼對(duì)前后堆疊的password模塊無效。

use_authok：強(qiáng)制使用前面堆疊的password模塊提供的密碼，比如由pam_cracklib模塊提供的新密碼。

md5：采用md5對(duì)用戶密碼進(jìn)行加密。

shadow：采用影