PAM可插入式认证模块
原创
©著作权归作者所有:来自51CTO博客作者19ji89ng的原创作品,请联系作者获取转载授权,否则将追究法律责任
用户认证 PAM:可插入式认证模块
PAM:
框架
集中式的共享认证
可动态配置:按需要配置哪些功能需要认证
pam的认证关卡:
/lib64/security 64位的linux系统
/lib/security 模块
同一个关卡可以被多个软件使用
pam的配置文件:/etc/pam.d/
存放的模块与服务或软件相对应
认证过程:叫类型
auth 验证
account 账号信息
password 密码
session 会话
不是所有的程序都可以用pam
配置格式:
service type control module-path module-arguments模块参数
单个文件格式不需要service
type类型: 可以出现多次
auth 认证用户
account 用户授权
password
session
control类型:简单的control 高级的control: auth [values1= values2=...]
简单的control;
requid 必须通过 失败继续检查
requisite 必须通过 失败直接退出
sufficient 满足则直接通过 不用再通过其他关 失败则继续检查
optional 过或不过都测试 可选的
include 检查文件 包含与type相同的文件并显示
高级control: 组合条件 取得值采取的动作
6中标准动作 :ok 通过 继续检查
done 通过了 就可以了
bad 失败则继续检查
die 失败不在检查
ignore 成功失败都忽略
reset 不管成功与否都重置为原来的值
required [success=ok new_authok_reqd=ok ignore=ignore default=bad]
/etc/pam.d下文件:
system-auth 包含最常见的认证机制 连接文件 集中
other 定义默认认证规则
login 登陆时用的认证
常见的模块:
pam_unix.so 本地认证的 实现用户登陆shadow passwd
NSS的 参数:nullok 允许密码为空
shadow 基于shadow文件
try_first_pass 尝试使用上一次使用的密码
md5 基于md5散列认证
pam_cracklib.so 修改密码认证时用到 根据字典设置 不允许普通用户修改密码
pam_passwdqc.so 和上面的相似 不检查字典
pam_tauy.so 记录一个用户错误登陆的次数 启用会在/var/log下生成faillog文件
faillog -u jing 可查看
pam_shells 只允许在/etc/shells里的定义访问shell
pam_securetty 限定root只能从特定的终端登陆 在/etc/securetty里定义
pam_nologin.so 非root用户在什么时候不能登陆 /etc/nologin 有该文件就不允许 没有则允许
pam_listfile.so 基于额外的文件登陆用户 例如:vsftpd 中的/etc/vsftpd/ftpuser
pam_rootok.so root用户切换到其他用户不用输入密码 常用于su
pam_limits.so 做资源限制的
/etc/security/limits.conf
<domain> <type> <item> <value>
domain : 用户名 组名@group
type : hard 硬限制 不能超过
soft 软限制
- 软硬都限制
item : data 数据在内存中占用的大小
fsize 单个文件大小限制
nproc 打开最多进程数的
nofile 能打开多少个文件
cpu 能使用多长时间的cpu
as 地址空间限制 内存限制
# ulimit -n 调整同时打开的文件数设置 做的为软限制
-u 一个用户能用的进程数
ulimit -S 软限制 -H 硬限制 --->root设置
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
PAM认证模块使用实例
PAM认证模块使用实例
PAM认证实例 -
Linux常用的可插拔认证模块(PAM)pam_limits.so、pam_rootok.so和pam_userdb.so的详解
Linux常用的可插拔认证模块(PAM)pam_limits.so、pam_rootok.so和pam_userdb.so的详解
Linux 配置文件 认证模块 pam_limits.so pam_rootok.so pam_userdb.so -
PAM认证配置文件 应用程序 vim 系统管理员 缓存
-
Linux可插拔认证模块(PAM)的配置文件、工作原理与流程
http://www.infoq.com/cn/articles/linux-pam-one
Linux可插拔认证模块(PAM)的配置