模块导引, 这里对最常用的10个模块做了描述.
想知道更多的信息, 你可以察看/usr/doc/pam* 下的文件.
1) Chroot
pam_chroot
Management groups provided:
account; session; authentication
为用户提供了一伪造的文件系统.
2) Cracklib pluggable passWord strength-checker
pam_cracklib
Management groups provided:
password
需要库libcrack 和议本系统字典/usr/lib/cracklib_dict.
检查密码的可靠性
对下列问题进行检查:
Palindrome - 回文 速度和倒读都一样
Case Change Only - 仅仅是大小写的变化
Similar - 过于相似
Simple - 太简单了
Rotated - 是旧密码的循环
Password component
可识别的参数
debug; type=XXX; retry=N; difok=N; minlen=N; dcredit=N;
UCredit=N; lcredit=N; ocredit=N;
Description:
提示用户输入密码,并检查密码是否可靠.
debug - 透过syslogd来写信息.
type=XXX - 系统的名字
retry=N - 可重试的次数
difok=N - 至少要有多少个字符不同
minlen=N - 新密码的长度加一的最小值
dcredit=N ucredit=N lcredit=N ocredit=N -
最少要有多少的数字,大写字母,小写字母和其它字母.
3) Deny
pam_deny
Management groups provided:
account; authentication; password; session
用于拒绝提供服务.
Account component
仅仅是返回一个错误 PAM_ACCT_EXPIRED.
#
# add this line to your other login entries to disable all accounts
#
login account required pam_deny.so
Authentication component
仅仅是返回一个错误 PAM_AUTH_ERR. 当调用 pam_authenticate()时.
返回 PAM_CRED_UNAVAIL, 当调用 pam_setcred() 时.
#
# add this line to your existing OTHER entries to prevent
# authentication succeeding with default applications.
#
OTHER auth required pam_deny.so
Password component
Recognized arguments:
Description:
拒绝用户修改密码.返回PAM_AUTHTOK_ERR.
Examples/suggested usage:
#
# add this line to your other login entries to prevent the login
# application from being able to change the user's password.
#
login password required pam_deny.so
Session component
阻止用户在主机上开始一个session.
Examples/suggested usage:
#
# An example to see how to configure login to refuse the user a
[1] [2] [3] 下一页
# session (politely)
#
login session required pam_motd.so file=/etc/system_time
login session required pam_deny.so
4) Anonymous Access module
pam_FTP.so
Management groups provided:
authentication
Overview of module
提供了匿名ftp认证.
Authentication component
参数:
debug; users=XXX,YYY,...; ignore
丹用户名为ftp或anonymous时,将密码安@分为 PAM_RUSER 和 PAM_RHOST;
相应的设置pam-items. 用户名被设为 ftp.
debug - syslog
users=XXX,YYY,...- 允许的用户名.
ignore - 不关心用户的email地址.
The group access module
pam_group
Management groups provided:
authentication
System dependencies:
需要设置 /etc/security/group.conf
Network aware:
需要正确设置PAM_TTY item.
Overview of module
基于用户名和它们使用的终端来决定是否提供服务.
Authentication component
5) The last login module
pam_lastlog
Management groups provided:
auth
System dependencies:
所用的信息包含在/var/log/wtmp中.
Overview of module
这个模块维护 /var/log/wtmp . 增加打开的一项当调用 pam_open_seesion()
当pam_close_session()时关闭该项.它也显示一条信息表示用户上次何时登陆.
``Last login on ...'' 该模块维护 /var/log/wtmp.
Authentication component
Recognized arguments:
debug; nodate; noterm; nohost; silent; never
Description:
debug - write more information to syslog(3).
nodate - 不显示上次登陆的时间
noterm - 不显示上次登陆的终端.
nohost - 不显示上次登陆的主机.
silent - 不显示上次登陆的信息,值更新 /var/log/wtmp.
never - 如果/var/log/wtmp 不包含上次登陆的信息. 显示``welcome..."
Examples/suggested usage:
这个木块可以用来显示该用户收到了new mail,当它们登陆到系统中时.
#
# do we have any mail?
#
login session optional pam_lastlog.so
6) The resource limits module
pam_limits
Management groups provided:
session
/etc/security/limits.conf内核支持 resource limits.
Overview of module
通过 Linux-PAM open-session hook 设置用户的session可使用的系统资源上限
Session component
Recognized arguments:
debug; conf=/path/to/file.conf
上一页 [1] [2] [3] 下一页
root不受限制
conf=/path/to/file.conf 指定替代缺省的配置文件的文件名
例如:
为了使用这个模块 /etc/security/limits.conf 必须是root只读的
<domain> <type> <item> <value>
The fields listed above should be filled as follows...
<domain> 可以是用户名,用户组名(@group) 或统配符 * 表示缺省规则
<type> 可以是 hard soft
hard 强制实行 由管理员设置 由Linux Kernel执行 . 用户无权改变.
soft 非强制执行. 用户可以改变 在之前存在的 hard limits 允许下.
<item> 可以是下列值:
core - core 文件的大小 (KB)
data - 最大的data大小 (KB)
fsize - maximum filesize (KB)
memlock - max locked-in-memory address space (KB)
nofile - max number of open files
rss - max resident set size (KB)
stack - max stack size (KB)
cpu - max CPU time (MIN)
nproc - max number of processes
as - address space limit
maxlogins - max number of logins for this user.
通过加一个(-)来完全取消限制 (Example: ``bin -'', ``@admin -'').
注意用户的优先级比组的优先级要高.
下面是一个例子:
# EXAMPLE /etc/security/limits.conf file:
# =======================================
# <domain> <type> <item> <value>
* soft core 0
* hard rss 10000
@student hard nproc 20
@faculty soft nproc 20
@faculty hard nproc 50
ftp hard nproc 0
@student - maxlogins 4
7) The no-login module
pam_nologin
Management groups provided:
authentication
Overview of module
提供了标准的unix nologin服务.
Authentication component
Recognized arguments:
Description:
当/etc/nologin文件存在时就拒绝login.
8) The Password-Database module
pam_pwdb
Management groups provided:
account; authentication; password; session
Overview of module
用于取代 pam_unix_* 模块. 它使用了通用的 Password Database
library 接口函数.
Account component
Recognized arguments:
debug
例如:
/etc/pam.d/login 一定会有下面一行.
#
# Ensure users account and password are still active
#
login account required pam_pwdb.so
Authentication component
可用的阐述:
debug; use_first_pass; try_first_pass; nullok; nod
(出处:http://www.sheup.com)
上一页 [1] [2] [3]
pam_nologin
Management groups provided:
authentication
Overview of module
提供了标准的unix nologin服务.
Authentication component
Recognized arguments:
Description:
当/etc/nologin文件存在时就拒绝login.
8) The Password-Database module
pam_pwdb
Management groups provided:
account; authentication; password; session
Overview of module
用于取代 pam_unix_* 模块. 它使用了通用的 Password Database
library 接口函数.
Account component
Recognized arguments:
debug
例如:
/etc/pam.d/login 一定会有下面一行.
#
# Ensure users account and password are still active
#
login account required pam_pwdb.so
Authentication component
可用的阐述:
debug; use_first_pass; try_first_pass; nullok; nod
(出处:http://www.sheup.com)
上一页 [1] [2] [3] [4]
Overview of module
用于取代 pam_unix_* 模块. 它使用了通用的 Password Database
library 接口函数.
Account component
Recognized arguments:
debug
例如:
/etc/pam.d/login 一定会有下面一行.
#
# Ensure users account and password are still active
#
login account required pam_pwdb.so
Authentication component
可用的阐述:
debug; use_first_pass; try_first_pass; nullok; nod
(出处:http://www.sheup.com/)
上一页 [1] [2] [3] [4] [5]