一起来学linux：PAM模块

2023-05-16

在Linux中执行有些程序时，这些程序在执行前首先要对启动它的用户进行认证，符合一定的要求之后才允许执行，例如login, su等

在Linux中进行身份或是状态的验证程序是由PAM来进行的，PAM（Pluggable Authentication Modules）可动态加载验证模块，因为可以按需要动态的对验证的内容进行变更，所以可以大大提高验证的灵活性。

Linux各个发行版中，PAM使用的验证模块一般存放在/lib/security/目录下，可以使用ls命令进行查看本计算机支持哪些验证控制方式，一般的PAM模块名字例如pam_unix.so，模块可以随时在这个目录下添加和删除，这不会直接影响程序运行，具体的影响在PAM的配置目录下。

PAM的配置文件位于/etc/pam.d文件下面。ls命令可以看到所有的文件配置

root@zhf-maple:/etc/pam.d# ls -al

总用量 124

drwxr-xr-x 2 root root 4096 11月 27 21:31 .

drwxr-xr-x 133 root root 12288 11月 27 21:31 ..

-rw-r--r-- 1 root root 384 11月 20 2014 chfn

-rw-r--r-- 1 root root 92 11月 20 2014 chpasswd

-rw-r--r-- 1 root root 581 11月 20 2014 chsh

-rw-r--r-- 1 root root 1208 11月 26 20:23 common-account

-rw-r--r-- 1 root root 1249 11月 26 20:23 common-auth

-rw-r--r-- 1 root root 1480 11月 26 20:23 common-password

-rw-r--r-- 1 root root 1470 11月 26 20:23 common-session

-rw-r--r-- 1 root root 1435 11月 26 20:23 common-session-noninteractive

-rw-r--r-- 1 root root 606 8月 21 07:54 cron

-rw-r--r-- 1 root root 69 9月 14 00:53 cups

-rw-r--r-- 1 root root 884 9月 30 2015 lightdm

-rw-r--r-- 1 root root 551 9月 30 2015 lightdm-autologin

-rw-r--r-- 1 root root 727 8月 24 2015 lightdm-greeter

-rw-r--r-- 1 root root 4905 11月 27 21:31 login

-rw-r--r-- 1 root root 92 11月 20 2014 newusers

-rw-r--r-- 1 root root 520 4月 22 2017 other

-rw-r--r-- 1 root root 92 11月 20 2014 passwd

-rw-r--r-- 1 root root 270 5月 24 2017 polkit-1

-rw-r--r-- 1 root root 168 1月 28 2016 ppp

-rw-r--r-- 1 root root 143 7月 11 09:19 runuser

-rw-r--r-- 1 root root 138 7月 11 09:19 runuser-l

-rw-r--r-- 1 root root 2257 11月 20 2014 su

-rw-r--r-- 1 root root 239 6月 13 03:51 sudo

-rw-r--r-- 1 root root 317 10月 3 11:24 systemd-user

-rw-r--r-- 1 root root 57 9月 13 09:14 ukui-screensaver

-rw-r--r-- 1 root root 319 5月 8 2014 vsftpd

我们看下文件里面的格式是什么：

root@zhf-maple:/etc/pam.d# cat ./login

# The PAM configuration file for the Shadow `login' service

# Enforce a minimal delay in case of failure (in microseconds).

# (Replaces the `FAIL_DELAY' setting from login.defs)

# Note that other modules may require another minimal delay. (for example,

# to disable any delay, you should add the nodelay option to pam_unix)

auth optional pam_faildelay.so delay=3000000

auth required pam_securetty.so

配置文件的格式主要有4列组成：

第一列代表模块类型，类型分为4种：

auth: 用来对用户的身份进行识别.如:提示用户输入密码,或判断用户是否为root

account:对帐号的各项属性进行检查.如:是否允许登录,是否达到最大用户数,或是root用户是否允许在这个终端登录等

session:这个模块用来定义用户登录前的,及用户退出后所要进行的操作.如:登录连接信息,用户数据的打开与关闭,挂载文件系统等.

passwd:使用用户信息来更新.如:修改用户密码.

第二列代表控制标记：也有4种类型：

required: 表示即使某个模块对用户的验证失败，也要等所有的模块都执行完毕后,PAM 才返回错误信息。这样做是为了不让用户知道被哪个模块拒绝。如果对用户验证成功，所有的模块都会返回成功信息

requisite: 与required相似,但是如果这个模块返回失败,则立刻向应用程序返回失败,表示此类型失败.不再进行同类型后面的操作.

sufficient:表示如果一个用户通过这个模块的验证，PAM结构就立刻返回验证成功信息（即使前面有模块fail了，也会把 fail结果忽略掉），把控制权交回应用程序。后面的层叠模块即使使用requisite或者required 控制标志，也不再执行。如果验证失败，sufficient 的作用和 optional 相同

optional:表示即使本行指定的模块验证失败，也允许用户接受应用程序提供的服务，一般返回PAM_IGNORE(忽略).

第三列代表模块路径：要调用模块的位置。一般是在/lib/security文件中。但是每个版本都不太一样，比如我是用的ubuntun17.10。模块位于/lib/x86_64-linux-gnu/security文件夹下面

zhf@zhf-maple:/lib/x86_64-linux-gnu/security$ ls -al

总用量 1064

drwxr-xr-x 2 root root 4096 11月 26 20:05 .

drwxr-xr-x 3 root root 12288 11月 26 20:08 ..

-rw-r--r-- 1 root root 18672 4月 22 2017 pam_access.so

-rw-r--r-- 1 root root 10080 10月 11 16:26 pam_cap.so

-rw-r--r-- 1 root root 10376 4月 22 2017 pam_debug.so

-rw-r--r-- 1 root root 6000 4月 22 2017 pam_deny.so

-rw-r--r-- 1 root root 10336 4月 22 2017 pam_echo.so

-rw-r--r-- 1 root root 14536 4月 22 2017 pam_env.so

-rw-r--r-- 1 root root 14728 4月 22 2017 pam_exec.so

-rw-r--r-- 1 root root 60368 4月 22 2017 pam_extrausers.so

-rw-r--r-- 1 root root 10368 4月 22 2017 pam_faildelay.so

-rw-r--r-- 1 root root 14576 4月 22 2017 pam_filter.so

-rw-r--r-- 1 root root 10304 4月 22 2017 pam_ftp.so

-rw-r--r-- 1 root root 42984 7月 31 21:21 pam_gnome_k

第四列是模块参数：参数可以用多个,之间用空格隔开。例如：password required pam_unix.so nullok obscure min=4 max=8 md5

我们再来看下配置文件里面的内容：比如下面两种。其中红色的字体注释已经写明了对应的模块需要做那些配置

# Uncomment and edit /etc/security/access.conf if you need to

# set access limits.

# (Replaces /etc/login.access file)

# account required pam_access.so

# Sets up user limits according to /etc/security/limits.conf

# (Replaces the use of /etc/limits in old login)

session required pam_limits.so

下面我们介绍集中常用的PAM模块，如下表：

PAM模块	结合管理类型	说明
pam_unix.so	auth	提示用户输入密码,并与/etc/shadow文件相比对.匹配返回0
	account	检查用户的账号信息(包括是否过期等).帐号可用时,返回0.
	password	修改用户的密码. 将用户输入的密码,作为用户的新密码更新shadow文件
pam_shells.so	auth account	如果用户想登录系统，那么它的shell必须是在/etc/shells文件中之一的shell
pam_deny.so	account auth password session	该模块可用于拒绝访问
pam_permit.so	auth account password session	模块任何时候都返回成功.
pam_securetty.so	auth	如果用户要以root登录时,则登录的tty必须在/etc/securetty之中.
pam_listfile.so	auth account password session	访问应用程的控制开关
pam_cracklib.so	password	这个模块可以插入到一个程序的密码栈中,用于检查密码的强度.
pam_limits.so	session	定义使用系统资源的上限，root用户也会受此限制，可以通过/etc/security/limits.conf或/etc/security/limits.d/*.conf来设定

我们用pam_securetty.so这个模块来做个测试。这个模块的作用是如果用户要以root登录时,则登录的tty必须在/etc/securetty之中。我们知道我们在键盘上可以用ctrl+alt+f1-ctrl+alt+f6来登录各个终端。现在我们来限制root的登录终端

第一步：首先在/etc/pam.d/login文件中配置如下，表明当用户为root的时候需要用pam_securetty.so来进行验证

auth required pam_securetty.so

第二步：在/etc/securetty中将tty2给注释掉

# Virtual consoles

tty1

#tty2

第三步：在用root用户登录tty2的时候则会提示login incorrect.

转载于:https://www.cnblogs.com/zhanghongfeng/p/7906390.html

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

一起来学linux：PAM模块的相关文章

Tomcat Intellij Idea：远程部署

RackSpace 云服务器 Ubuntu 12 04 Intellij Idea 11 1 2 Windows 8 Tomcat 7 0 26 JDK 6 在 Intellij Idea 上当我尝试在远程 Tomcat 7 服务器上运行
批量删除文件名中包含 BASH 中特殊字符的子字符串

我的目录中有一个文件列表 opencv calib3d so2410 so opencv contrib so2410 so opencv core so2410 so opencv features2d so2410 so opencv
在内核代码中查找函数的最佳方法[关闭]

Closed 这个问题不符合堆栈溢出指南 help closed questions 目前不接受答案我开始浏览内核代码遇到的一件事是如何跟踪函数调用结构定义等有没有一种好的方法可以快速跳转到函数定义并退出我尝试过 Source N
相当于Linux中的导入库

在 Windows C 中当您想要链接 DLL 时您必须提供导入库但是在 GNU 构建系统中当您想要链接 so 文件相当于 dll 时您就不需要链接为什么是这样是否有等效的 Windows 导入库注意我不会谈论在 Win
如何使用 JSch 将多行命令输出存储到变量中

所以我有一段很好的代码我很难理解它允许我向我的服务器发送命令并获得一行响应该代码有效但我想从服务器返回多行主要类是 JSch jSch new JSch MyUserInfo ui new MyUserInfo String
在 C 中使用单个消息队列是否可以实现双向通信

我希望服务器向客户端发送一些消息并让客户端确认它我被分配了这个任务我可以在 C linux 中使用单个消息队列来完成它还是我需要创建两个谢谢是的可以使用 sysV 消息队列来做到这一点从您之前的问题来看您正在使用该队列您可
调用 printf 系统子例程在汇编代码中输出整数错误[重复]

这个问题在这里已经有答案了来回在windows7控制台窗口中运行gcc s2 asm 然后生成一个exe文件运行a exe 然后崩溃为什么 s2 asm 代码由以下源代码生成 int m m 1 iprint m s2 asm请参考
在 .gitconfig 中隐藏 GitHub 令牌

我想将所有点文件存储在 GitHub 上包括 gitconfig 这需要我将 GitHub 令牌隐藏在 gitconfig 中为此我有一个 gitconfig hidden token 文件这是我打算编辑并放在隐藏令牌的 git 下
使用 \r 并打印一些文本后如何清除控制台中的一行？

对于我当前的项目有一些代码很慢并且我无法使其更快为了获得一些关于已完成必须完成多少的反馈我创建了一个进度片段您可以在下面看到当你看到最后一行时 sys stdout write r100 80 n I use 80覆盖最终剩余的
如何阻止ubuntu在使用apt安装或更新软件包时弹出“Daemons using outdatedlibraries”？ [关闭]

Closed 这个问题是与编程或软件开发无关 help closed questions 目前不接受答案我最近新安装了 Ubuntu 22 04 LTS 我发现每次使用 apt 安装或更新软件包时它都会询问我有关Which servic
如何根据标签将单个 XML 文件拆分为多个

我有一个带有标签的 XML 文件我想像这样分割文件
CMake 链接 glfw3 lib 错误

我正在使用 CLion 并且正在使用 glfw3 库编写一个程序 http www glfw org docs latest http www glfw org docs latest 我安装并正确执行了库中的所有操作我有 a 和 h 文
在 Mono 上运行 .Net MVC5 应用程序

我正在 Windows 上的 Visual Studio 2013 中开发 Net 4 5 1 MVC5 应用程序现在我想知道是否可以在Linux Ubuntu 12 04 上运行这个应用程序可以使用OWIN吗 Owin 可以自托管运
与 pthread 的进程间互斥

我想使用一个互斥体它将用于同步对两个不同进程共享的内存中驻留的某些变量的访问我怎样才能做到这一点执行该操作的代码示例将非常感激以下示例演示了 Pthread 进程间互斥体的创建使用和销毁将示例推广到多个进程作为读者的练习 inc
使用 python 脚本更改 shell 中的工作目录

我想实现一个用户态命令它将采用其参数之一路径并将目录更改为该目录程序完成后我希望 shell 位于该目录中所以我想实施cd命令但需要外部程序可以在 python 脚本中完成还是我必须编写 bash 包装器 Example t
绕过 dev/urandom|random 进行测试

我想编写一个功能测试用例用已知的随机数值来测试程序我已经在单元测试期间用模拟对其进行了测试但我也希望用于功能测试当然不是全部最简单的方法是什么 dev urandom仅覆盖一个进程有没有办法做类似的事情chroot对于单个文件并
Linux 为一组进程保留一个处理器（动态）

有没有办法将处理器排除在正常调度之外也就是说使用sched setaffinity我可以指示线程应该在哪个处理器上运行但我正在寻找相反的情况也就是说我想从正常调度中排除给定的处理器以便只有已明确调度的进程才能在那里运行我还知道
检查已安装的软件包，如果没有找到则安装

我需要检查已安装的软件包如果未安装则安装它们 RHEL CentOS Fedora 示例 rpm qa grep glibc static glibc static 2 12 1 80 el6 3 5 i686 如何在 BASH 中进行检
如何让 Node.js 作为后台进程运行并且永不死掉？

我通过 putty SSH 连接到 linux 服务器我尝试将其作为后台进程运行如下所示 node server js 然而 2 5 小时后终端变得不活动进程终止即使终端断开连接我是否也可以使进程保持活动状态 Edit 1 事实
ansible unarchive 模块如何查找 tar 二进制文件？

我正在尝试执行一个 ansible 剧本该剧本的任务是利用unarchive模块因为我是在 OSX 上执行此操作所以我需要使用它gnu tar 而不是bsd tar通常与 OSX 一起提供因为BSD tar 不受官方支持 https

随机推荐

centos7.9安装glibc-static以及获取方式

在centos的镜像ISO文件里面不存在glibc static 包 xff0c 如果需要安装glibc static xff0c 只能到仓库获取 glibc static对应的安装包链接 https pan baidu com s 1hF
Error response from daemon: --live-restore daemon configuration is incompatible with swarm mode

将文件 etc sysconfig docker中的 live restore去掉 root 64 1050a udcp deploy 1 8 0 amd systemctl daemon reload 加载配置 root 64 1050a
Linux服务器设备上配置IPV6地址方法

1 手动执行命令配置 xff1a ifconfig em1 inet6 add 8888 a7 96 up 2 删除网卡的IPv6地址方法 xff1a ifconfig em1 inet6 del 8888 a7 3 通过写配置文件配置 x
Linux系统配置ssh监听多个端口方法

1 为避免其他用户恶意登陆设备 xff0c 一般会修改ssh登陆的端口修改方法如下 xff1a 在配置文件 etc ssh sshd config 文件中修改 Port 5022 AddressFamily any listenAddres
单播、广播和多播IP地址

除地址类别外 xff0c 还可根据传输的消息特征将IP地址分为单播广播或多播主机使用IP地址进行一对一 xff08 单播 xff09 一对多 xff08 多播 xff09 或一对所有 xff08 广播 xff09 的通信 1 xff0e
VirtualBox进行网络管理的命令（纯干货，实战实例2）

root 64 R430 VBoxManage modifyvm DDI DNS94 nic2 hostonly xff08 必须关闭虚拟机 xff0c 才可以执行 xff09 VBoxManage error The machine 39
Cent Linux 下安装Quagga 报错 vtysh needs libreadline

安装 quagga 0 99 22 时遇到如下提示 configure prefix 61 usr local zebra enable vtysh enable user 61 root enable group 61 root enab
route命令添加，删除和查看路由

1 route del default gw 10 21 173 254 或者使用route del net 10 0 0 0 netmask 255 0 0 0 命令解释 xff1a gw是网关ip 2 route add default
失败程序员的十年总结

十年到底有多长 xff1f 当我回顾过去的十年 xff0c 发现好短 xff0c 可以讲的事情没有几件 xff0c 而且都是坏事 xff1b 当我畅想未来的十年 xff0c 感觉又好长 xff0c 不知道路怎么走自从2010年毕业到现在已
ssh免密登陆失败原因总结（Linux）

1 SSH公钥认证 xff08 免密码 xff09 配置登录到本机服务器A xff0c 切换到响应的操作系统用户 xff0c 执行命令 xff0c 生成秘钥文件按照提示直接回车 ssh keygen t rsa 将公钥传送到对端服务器B
Python-anaconda-Spyder使用matplotlib画图无法显示报错解决：Figures now render in the Plots pane by default. To mak

晚上在用anaconda的Spyder IDE xff0c 用 matplotlib 画图时不会显示图片在iPython终端中 xff0c 报错如下 xff1a Figures now render in the Plots pane by
k8s免安装-使用kubectl部署Pod, Deployment, LoadBalancer

如果你想要从零开始搭建自己的k8s集群参考我的这篇博客 xff0c 预计花费时间为1天 xff1a 从零开始在ubuntu上安装和使用k8s集群及报错解决自己搭建k8s集群的难点之一是需要3台ubuntu虚拟机 xff0c 要求电脑至少1
LeetCode 399. Evaluate Division--Python-DFS解法

题目地址 xff1a Evaluate Division LeetCode Equations are given in the format A B 61 k where A and B are variables represented
LeetCode 41. First Missing Positive--Python 解法--数学题-找到不存在的最小正整数-O(1)空间复杂度

题目地址 xff1a First Missing Positive LeetCode Given an unsorted integer array find the smallest missing positive integer Ex
免费视频转文字-音频转文字软件：网易见外工作台, Speechnotes, autosub, Speech to Text, 百度语音识别

文章目录网易见外工作台推荐 Chrome插件 Speechnotesautosub百度语音识别APIIBM的Speech to Text 不推荐此文首发于我的Jekyll博客 xff1a zhang0peter的个人博客应该在暑期的
Android studio 报错解决：Error:SSL peer shut down incorrectly

此文首发于我的Jekyll博客 xff1a zhang0peter的个人博客很久没用 Android studio 了 xff0c 刚刚在打开一个项目的biuld过程中报错 xff1a SSL peer shut down incorre
从LeetCode 679. 24 Game--C++ 解法--二十四点到穷举24点所有可能性-24点大全

从LeetCode 679 24 Game C 43 43 解法二十四点到穷举24点所有可能性此文首发于我的个人博客 xff1a zhang0peter的个人博客 LeetCode题解文章分类 xff1a LeetCode题解文章集合
LeetCode 309. Best Time to Buy and Sell Stock with Cooldown--Java解法-卖股票系列题目

此文首发于我的Jekyll博客 xff1a zhang0peter的个人博客 LeetCode题解文章分类 xff1a LeetCode题解文章集合 LeetCode 所有题目总结 xff1a LeetCode 所有题目总结题目地址 xf
Java数组排序： Array-ArrayList-List-Collections.sort()/List.sort()/Arrays.sort()

文章目录 ArrayList List 的排序 xff1a Collections sort List sort Array 的排序 xff1a Arrays sort 此文首发于我的Jekyll博客 xff1a zhang0peter的个
一起来学linux：PAM模块

在Linux 中执行有些程序时 xff0c 这些程序在执行前首先要对启动它的用户进行认证 xff0c 符合一定的要求之后才允许执行 xff0c 例如 login su 等在Linux 中进行身份或是状态的验证程序是由 PAM 来进行的 x

一起来学linux：PAM模块

一起来学linux：PAM模块 的相关文章

随机推荐

热门标签

一起来学linux：PAM模块的相关文章