本文详细介绍了PAM(Pluggable Authentication Modules)模块的工作原理及配置方法,包括如何使用不同的PAM模块来实现用户认证、账号管理等功能,并提供了具体的配置实例。
1------叫即插验证模块,应用于验证分离
2------pam的模块放在/etc/security下面
3-----查询某个程序具体使用的哪一个pam模块
例如:
/etc/pam.d/login
/etc/pam.d/sshd
/etc/pam.d/vsftpd
4---对vim /etc/pam.d/login中
第一列 第二列 第三列
Auth required 模块
Account requisite
Password sufficient
Session include
Optional
Auth:是用来检查用户名和密码,还检查用户有没有被 锁定
Account:除了用户名和密码以外但是对登录又起决定性作用的,例如,在规定的时间内,网段终端等,和用户名密码没有关系的,还检查用户名有无过期
Password:只有当用户修改密的时候才有用
Session:会话
Required:它想hi后的模块必须通过验证,如果验证成功继续向下验证,最终结果由后续模块决定,如果不成功,互惠返回失败,继续向下验证,但最终结果100%失败
Requisite:也称必要条件,差别在于requisite如果验证成功,继续向下验证,最终结果由后模块决定,如果不成功立刻返回失败
Sufficient:充分条件,后的模块如果验证失败,立刻返回成功,如果不成功继续向下验证,对最终的结果无影响
Include:后跟文件 包含
Optinonal:可选条件,它后面的模块,无论成功与否对最终结果无影响
5-----pam管理员手册
firefox /usr/share/doc/pam-0.99.6.2/html/Linux- PAM_SAG.html
vim /etc/securetty 存放的虚拟终端
vim /etc/security/pam_env.conf 设置环境变量的模块
auth_pam_unix.so 用来验证用户和密码的
account_pam_unix.so 验证用户有没有过期
pam_rootok.so 判断当前用户是否为root
pam_nologin.so 拒绝非root用户登录
pam_access.so 限制用户访问终端
pam_time.so 拒绝某个时间段访问某个服务
6-----pam产生的日志:/var/log/secure
如:touch /etc/nologin 只要存在这个文件,其他的任何用户都登录不进来(终端测试),但是已经登录的没有影响
7------注意:在auth的pam_unix.so系统中和弦的一个pam模块,专门验证下面2个文件
/etc/passwd
/etc/shadow
Auth只检查shadow中的某一行的前两个冒号(:)的部分
在account的pam_unix.so
Account就检查后面剩下的几个冒号的部分
8----例题:
(1) 限制用户访问终端
Vim /etc/pam.d/login
添加: auth required pam_access.so
Vin /etc/security/addess.conf
添加:- : wjx : tty3
(2) 拒绝某个人对你sshd
Vim /etc/pam.d/sshd
添加:auth required pam_access.so
Vim /etc/security/access.conf
添加:-:All : 192.168.119.120 # - 代表拒绝
+ 代表允许
(3) 决绝某个时间段访问某个服务
Vim /etc/pam.d/login
在account添加:account required pam_time.so
Vim /etc/security/time.cong
添加:Login; tty5; wjx; Mo1000-2300
(4) echo模块
vin /etc/pam.d/login
添加:auth required pam_echo.so file=/usr/hell0.txt
touch /usr/hello.txt
vim hello.txt
hello world !!!
(5) 用户登录3次以上就在20秒以内拒绝这个用户登录
Vim /etc/pam.d/login
添加:auth required pam_tally.so deny=3 unlock_time=20
关注下一期
转载于:https://blog.51cto.com/dbgirl/1040125
扫一扫
8
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
