Linux中pam模块
- 前言
- 一、密码设置及登陆控制
- 二、 pam_tally2.so
- 三、 pam_wheel.so
前言
PAM使用配置/etc/pam.d/下的文件,来管理对程序的认证方式.应用程序 调用相应的配置文件,从而调用本地的认证模块.模块放置在/lib/security下,以加载动态库的形式进,像我们使用su命令时,系统会提示你输入root用户的密码.这就是su命令通过调用PAM模块实现的。
一、密码设置及登陆控制
密码设置及登陆控制文件位置:/etc/pam.d/system-auth
示例文件内容如下:
auth required pam_securetty.so
auth required pam_unix.so shadow nullok
auth required pam_nologin.soaccount required pam_unix.sopassword required pam_cracklib.so retry=3
password required pam_unix.so shadow nullok use_authtoksession required pam_unix.so
auth 组件:认证接口,要求并验证密码
account组件:检测是否允许访问。检测账户是否过期或则在末端时间内能否登陆。
password组件:设置并验证密码
session组件:配置和管理用户sesison。
二、 pam_tally2.so
限制用户输错密码次数和账号锁定时间
auth required pam_tally2.so deny=3 even_deny_root unlock_time=120
/etc/pam.d/login中配置只在本地文本终端上做限制
/etc/pam.d/kde在配置时在kde图形界面调用时限制
/etc/pam.d/sshd中配置时在通过ssh连接时做限制
/etc/pam.d/system-auth中配置凡是调用 system-auth 文件的服务,都会生效
三、 pam_wheel.so
只有在wheel组的成员才可以su到root
auth required pam_wheel.so group=wheel use_uid