1、轉載自“華夏名網” 常見的PAM認證模塊簡介概述：本文介紹常見的pam認證模塊，包括每一個模塊的所屬類型、功能描述以及可識別的參數，有配置文件的，我們給出了配置文件的簡單說明，其中一 部分模塊，我們還給出了配置實例。希望通過我們的介紹，使讀者對常用的pam認證模塊有一定的了解。本文的介紹是基于redhat7.x系統。水平有限， 不足之處請讀者批評指正。1pam_access認證模塊所屬類型：account功能描述：該模塊提供基于登錄用戶名、客戶ip/主機名、網絡號以及登錄終端號的訪問控制。缺省的，該模塊的配置文件是/etc/security/access.conf，可以使用accessfile

2、參數指定自定義的配置文件。可帶參數：accessfile=/path/to/file.conf配置文件說明：該文件的每一行由如下三個字段構成，中間使用冒號分割：權限 : 用戶 : 來源權限字段可以是”+”(即允許訪問),”-”(禁止訪問)；用戶字段可以是用戶名、組名以及諸如userhost格式的用戶名，all表示任何人，具有多個值時，可以用空格分開。來源字段可以是tty名稱（本地登錄時）、主機名、域名（以”.”開始）,主機ip地址，網絡號（以”.”結束）。all表示任何主機，local表示本地登錄。可以使用except操作符來表示除了之外。配置實例：只有bye2000可以從本地登錄主機。編輯/

3、etc/pam.d/login如下所示：#%pam-1.0auth required /lib/security/pam_securetty.soauth required /lib/security/pam_stack.so service=system-authauth required /lib/security/pam_nologin.soaccount required /lib/security/pam_stack.so service=system-authaccount required /lib/security/pam_access.sopassword required

4、/lib/security/pam_stack.so service=system-authsession required /lib/security/pam_stack.so service=system-authsession optional /lib/security/pam_console.so也即加上account required /lib/security/pam_access.so然后在/etc/security/access.conf中加上：-:all except bye2000 : local假如禁止root以外的任何人從任何地方登錄，可以在/etc/security

5、/access.conf中加上：-:all except root: all2pam_chroot認證模塊所屬類型：account, session, auth功能描述：該模塊為一般用戶提供一個虛根環境，該模塊的配置文件是/etc/security/chroot.conf。可帶參數：debug：將調試信息寫入日志onerr：定義當配置文件無法打開、chroot()函數失敗以及配置文件中沒有用戶信息時的動作，缺省為”succeed”。附加說明：該模塊文檔不全，沒有對chroot.conf的相關配置說明。3pam_cracklib認證模塊所屬類型：password功能描述：該模塊對用戶密碼提供強健

6、性檢測。換句話說，您可以定義用戶密碼的方方面面，比如密碼長度、密碼的復雜程度等等。可帶參數：debug：將調試信息寫入日志type=xxx：添加/修改密碼時，系統的缺省提示符是” new unix password:”以及” retype unix password:”，使用該參數可以自定義提示符中的unix，比如指定type=your.retry=n：定義添加/修改密碼失敗時，可以重試的次數。difok=n：定義新密碼中必須有幾個字符要與舊密碼不同。但是如果新密碼中有1/2以上的字符與舊密碼不同時，該新密碼將被接受。minlen=n：定義密碼最小長度。dcredit=n：定義密碼中可以包含數

7、字的最大數目。ucredit=n：定義密碼中可以包含的大寫字母的最大數目。lcredit=n：定義密碼中可以包含的小寫字母的最大數目。ocredit=n：定義密碼中可以包含的其他字符（除數字、字母之外）的最大數目。配置實例：請參考/etc/pam.d/system-auth文件4pam_deny認證模塊所屬類型：account, session, auth,password功能描述：該模塊僅僅返回一個錯誤。用來拒絕用戶訪問。通常該模塊被用來作為缺省的驗證規則。可帶參數：無配置實例：請參考/etc/pam.d/system-auth文件5pam_env認證模塊所屬類型： auth功能描述：該模塊

8、可以用來設置任意的環境變量，缺省的，該模塊的配置文件是/etc/security/pam_env.conf，可以使用conffile參數指定自定義的配置文件。配置文件說明：該配置文件每一行（一個條目）的語法如下：變量名 default=值 override=值選 項default說明這是一個缺省值；override則說明可以覆蓋缺省值。在該配置文件中，可以使用$變量名的形式應用變量。除此之外，該模塊還 可以從/etc/environment文件中讀入形如“變量名=值”的環境變量，當然該文件也可以用readenv參數自己指定。需要注意的是，該文件 的讀入的值，將覆蓋conffile文件中的缺省值

9、。可帶參數：debug：將調試信息寫入日志conffile=filename：指定自定義的配置文件；readenv=filename：指定自定義包含“變量名=值”形式的環境變量配置文件；readenv=1/0：設置是否從readenv中讀入環境變量，缺省是1，也即讀入。配置實例：請參考/etc/pam.d/system-auth文件6pam_filter認證模塊所屬類型：account, session, auth,password功能描述：該模塊提供對用戶和應用程序交互內容的訪問控制功能，目前僅僅具有大小寫轉換功能。該模塊還有待完善。7pam_ftp認證模塊所屬類型：auth功能描述：該模塊

10、提供匿名ftp用戶認證機制。可帶參數：debug：將調試信息寫入日志users=xxx,yyy：指定采用該模塊進行認證的用戶名，缺省為ftp和anonymous，可以用逗號進行分割；ignore：不對用戶輸入的密碼（郵件地址）進行檢驗8pam_group認證模塊所屬類型：auth功能描述：該模塊沒有提供用戶認證，而僅僅是授予該用戶指定組的組權限。其缺省的配置文件為/etc/security/groups.conf。Arraypam_issue認證模塊所屬類型：auth功能描述：該模塊在用戶登錄時，將/etc/issue文件的內容打印出來。可帶參數：issue=filename：指定其他配置文件

11、，而不是缺省的/etc/issue.noesc：不對配置文件中的轉移字符進行解釋。配置文件說明：配置文件中可以使用形如x的轉移字符來實現特定的功能。可以識別的轉移字符有：d：打印當前日期s：打印操作系統名稱l：打印當前tty名稱m：打印cpu類型（i686、sparc、powerpc等）：打印主機名o：打印域名：打印內核版本號：打印當前系統時間u：打印系統當前在線用戶數u：同u，但是在用戶數后有users字樣v：打印系統安裝的日期配置文件實例：$ more /etc/issuewelcome totime: duser online: u10.pam_lastlog認證模塊所屬類型：auth功

12、能描述：該模塊在用戶登錄時，打印最后登錄系統的信息（在/var/log/lastlog中），通常已經有其他程序在作這個工作了，所以沒有必要使用該模塊。11.pam_limits認證模塊所屬類型：session功能描述：該模塊限制用戶會話過程中系統資源的使用率。缺省的，該模塊的配置文件是/etc/security/limits.conf，可以使用conf參數指定自定義的配置文件。可帶參數：issue=filename：指定其他配置文件，而不是缺省的/etc/issue.noesc：不對配置文件中的轉移字符進行解釋。配置文件說明：debug：將調試信息寫入日志conf=filename：指定配置文

13、件配置文件說明：該配置文件每一行（一個條目）的語法如下：在這里可以是用戶名用戶組名，采用group的語法通配符*，表示任何可以是soft表示軟限制，可以超過該限制hard表示硬限制，有root設定，內核執行，不可以超過該限制可以是corecore文件大小 (kb)data最大數據大小(kb)fsize最大文件大小(kb)memlock最大可用內存空間(kb)nofile最大可以打開的文件數量rss最大可駐留空間(kb)stack最大堆棧空間(kb)cpu最大cpu使用時間（min）nproc最大運行進程數as地址空間限制maxlogins某一用戶可以登錄到系統的最多次數locks最大鎖定文件數

14、目需要注意的是，如果無限制可以使用”-”號，并且針對用戶限制的優先級要比針對組的優先級高。配置文件實例：* soft core 0* hard rss 10000student hard nproc 20faculty soft nproc 20faculty hard nproc 5012.pam_listfile認證模塊所屬類型：auth功能描述：該模塊提供根據某種規則來對用戶進行訪問控制的功能。通常把訪問控制規則放在一個文件中，可以用file參數指定該文件。一般可以根據用戶名、登錄tty名、rhost、ruser、所屬用戶組、登錄shell來對用戶訪問進行控制。可帶參數：item=tty

15、|user|rhost|ruser|group|shell：定義所采用的規則；onerr=succeed|fail：定義當出現錯誤（比如無法打開配置文件）時的缺省返回值；sense=allow|deny：定義當再配置文件中找到符合條件的項目時的返回值；如果沒有找到符合條件的項目，則返回相反的值；file=filename：指定配置文件apply=user|group：定義采用非user和group的規則時，這些規則所應用的對象。配置實例：比如/etc/pam.d/ftp:$ more /etc/pam.d/ftp#%pam-1.0auth required /lib/security/pam_

16、listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeedauth required /lib/security/pam_pwdb.so shadow nullok# this is disabled because anonymous logins will fail otherwise,# unless you give the ftp user a valid shell, or /bin/false and add# /bin/false to /etc/shells.#auth required /lib/sec

17、urity/pam_shells.soaccount required /lib/security/pam_pwdb.sosession required /lib/security/pam_pwdb.so該 配置文件的第一句，就指定了根據用戶名來對訪問進行控制（item=user）。配置文件為/etc/ftpaccess（file=/etc /ftpusers），當登錄用戶的用戶名在配合文件出現時拒絕訪問（sense=deny），當配置文件中沒有符合的條目時允許其訪問 （onerr=succeed）。13.pam_mail認證模塊所屬類型：auth，session功能描述：檢查用戶的郵件目錄

18、，查看該用戶是否有新郵件。通常已經有其他程序在作這個工作了，所以沒有必要使用該模塊。可帶參數：debug：將調試信息寫入日志dir=pathname：用于指定用戶的郵箱路徑，通常是/var/spool/mail，如果是以開頭表示該郵箱位于用戶的宿主目錄下。nopen：不向用戶提示郵件信息。close：總是向用戶提示郵件信息。noenv：不設置mail環境變量。empty：如果用戶郵箱為空，也向用戶提示郵件信息。quiet：即使用戶有新郵件也不向用戶提示。14.pam_mkhomedir認證模塊所屬類型： session功能描述：在用戶登錄時為用戶興建宿主目錄，該功能在采用ldap或者數據庫存儲

19、用戶數據時特別有用。可帶參數：debug：將調試信息寫入日志skel=dir：指定用戶包含初始化腳本的目錄；umask=octal：與umask命令一樣，設置用戶創建文件時預設的權限掩碼。15.pam_motd認證模塊所屬類型： session功能描述：在用戶成功登錄系統后顯示message of today(今天的信息)，缺省是顯示/etc/motd文件的內容，可以用motd參數指定不同的配置文件。可帶參數：motd=filename：指定自定義的配置文件。16.pam_nologin認證模塊所屬類型： auth功能描述：提供標準的unix nologin登錄認證。如果/etc/nologi

20、n文件存在，則只有root用戶可以登錄，其他用戶登錄時只會得到/etc/nologin文件的內容。如果/etc/nologin不存在，則該模塊沒有作用。可帶參數：無17.pam_permit認證模塊所屬類型： account; auth; password; session功能描述：使用該模塊具有很大的安全風險，該模塊的唯一功能就是允許用戶登錄。可帶參數：無18.pam_pwdb認證模塊所屬類型： account; auth; password; session功能描述：該模塊是標準unix認證模塊pam_unix的替代模塊。在作為auth類型使用時，此時該模塊可識別的參數有debug、aud

21、it、use_first_pass、try_first_pass、 nullok、nodelay，主要功能是驗證用戶密碼的有效性，在缺省情況下（即不帶任何參數時），該模塊的主要功能是禁止密碼為空的用戶提供服務；在作為account類型使用時，此時該模塊可識別的參數有debug、audit，該模塊主要執行建立用戶帳號和密碼狀態的任務，然后執行提示用戶修改密碼，用戶采用新密碼后才提供服務之類的任務；在作為password類型使用時，此時該模塊可識別的參數有debug、 audit、 nullok;、not_set_pass、use_authtok、try_first_pass、use_first_

22、pass、md5、 bigcrypt、shadow，該模塊完成讓用戶更改密碼的任務；在作為session類型使用時，此時該模塊沒有可識別的參數，該模塊僅僅完成記錄用戶名和服務名到日志文件的工作。可帶參數：debug：將調試信息寫入日志audit：記錄更為信息的信息nullok：缺省情況下，如果用戶輸入的密碼為空，則系統能夠不對其提供任何服務。但是如果使用參數，用戶不輸入密碼就可以獲得系統提供的服務。同時，也允許用戶密碼為空時更改用戶密碼。nodelay：當用戶認證失敗，系統在給出錯誤信息時會有一個延遲，這個延遲是為了防止黑客猜測密碼，使用該參數時，系統將取消這個延遲。通常這是一個1秒鐘的延遲。

23、try_first_pass：在用作auth模塊時，該參數將嘗試在提示用戶輸入密碼前，使用前面一個堆疊的auth模塊提供的密碼認證用戶；在作為password模塊使用時，該參數是為了防止用戶將密碼更新成使用以前的老密碼。use_first_pass：在用作auth模塊時，該參數將在提示用戶輸入密碼前，直接使用前面一個堆疊的auth模塊提供的密碼認證用戶；在作為password模塊使用時，該參數用來防止用戶將密碼設置成為前面一個堆疊的password模塊所提供的密碼。no_set_pass：使密碼對前后堆疊的password模塊無效。use_authok：強制使用前面堆疊的password模塊提

24、供的密碼，比如由pam_cracklib模塊提供的新密碼。md5：采用md5對用戶密碼進行加密。shadow：采用影子密碼。unix：當用戶更改密碼時，密碼被放置在/etc/passwd中。bigcrype：采用dec c2算法加密用戶密碼。配置實例：參考/etc/pam.d/ftppam_rhosts_auth認證模塊所屬類型： auth功能描述：該模塊為標準的網絡服務（諸如rlogin、rsh）提供認證。可帶參數：請參考pam文檔說明20.pam_rootok認證模塊所屬類型： auth功能描述：使用該模塊具有很大的安全風險，該模塊的唯一功能就是讓uid為0的用戶不需輸入密碼就可以登錄系統

25、。可帶參數：無21.pam_securetty認證模塊所屬類型： auth功能描述：該模塊用來控制root用戶只可以從包含在/etc/securetty文件中的終端登錄系統。22.pam_shell認證模塊所屬類型： auth功能描述：如果用戶的shell在/etc/shells中列出，則允許用戶進行驗證，如果/etc/passwd中沒有指定shell，則缺省使用/bin/sh.23.pam_time認證模塊所屬類型： account功能描述：對用戶訪問服務提供時間控制，也就是說，用來控制用戶可以訪問服務的時間，配置文件為：/etc/security/pam.conf。可帶參數：無配置文件說明

26、：每一行的構成語法如下：services; ttys; users; timesservices：服務名稱ttys：規則生效的終端名，可以*號表示任何終端，！表示非。users：規則作用的用戶，可以*號表示任何用戶，！表示非。times：指定時間，通常使用日期時間格式。用兩個字母指定日期，比如motusa就是指星期一星期二和星期六。注意重復的部分將被排除在外，比如motumo就指星期二，mowk指除了星期一以外的每一天。兩個字母的組合有：mo tu we th fr sa su wk wd almo到su分別指從星期一到星期天，wk指每一天，wd指周末，al也指每一天。采用24小時制指定時間，

27、也即采用hhmm的形式。比如mo1800-0300就是每個星期一的下午6點到第二天的凌晨3點。24.pam_unix認證模塊所屬類型： account; auth; password; session功能描述：該模塊是標準unix認證模塊pam_unix的替代模塊。在作為auth類型使用時，此時該模塊可識別的參數有debug、audit、use_first_pass、try_first_pass、 nullok、nodelay，主要功能是驗證用戶密碼的有效性，在缺省情況下（即不帶任何參數時），該模塊的主要功能是禁止密碼為空的用戶提供服務；在作為account類型使用時，此時該模塊可識別的參數有

28、debug、audit，該模塊主要執行建立用戶帳號和密碼狀態的任務，然后執行提示用戶修改密碼，用戶采用新密碼后才提供服務之類的任務；在作為password類型使用時，此時該模塊可識別的參數有debug、 audit、 nullok;、not_set_pass、use_authtok、try_first_pass、use_first_pass、md5、 bigcrypt、shadow、nis、remember，該模塊完成讓用戶更改密碼的任務；在作為session類型使用時，此時該模塊沒有可識別的參數，該模塊僅僅完成記錄用戶名和服務名到日志文件的工作。可帶參數：debug：將調試信息寫入日志aud

29、it：記錄更為信息的信息nullok：缺省情況下，如果用戶輸入的密碼為空，則系統能夠不對其提供任何服務。但是如果使用參數，用戶不輸入密碼就可以獲得系統提供的服務。同時，也允許用戶密碼為空時更改用戶密碼。nodelay：當用戶認證失敗，系統在給出錯誤信息時會有一個延遲，這個延遲是為了防止黑客猜測密碼，使用該參數時，系統將取消這個延遲。通常這是一個1秒鐘的延遲。try_first_pass：在用作auth模塊時，該參數將嘗試在提示用戶輸入密碼前，使用前面一個堆疊的auth模塊提供的密碼認證用戶；在作為password模塊使用時，該參數是為了防止用戶將密碼更新成使用以前的老密碼。use_first_pass：在用作auth模塊時，該參數將在提示用戶輸入密碼前，直接使用前面一個堆疊的auth模塊提供的密碼認證用戶；在作為password模塊使用時，該參數用來防止用戶將密碼設置成為前面一個堆疊的password模塊所提供的密碼。no_set_pass：使密碼對前后堆疊的password模塊無效。use_authok：強制使用前面堆疊的password模塊提供的密碼，比如由pam_cracklib模塊提供的新密碼。md5：采用md5對用戶密碼進行加密。shadow：采用影子密碼。unix：