做公司网站怎么做手机版,山东省住房和城乡建设厅门户网站,个人备案门户网站,怎么制作游戏app软件一、PAM简介 Sun公司1995年开发的一种与认证相关的通用框架机制#xff0c;PAM只关注如何为服务验证用户的API#xff0c;通过提供一些动态链接库和一套统一的API#xff0c;将系统提供的服务和该服务的认证方式分开#xff1b;PAM只是一个框架而已#xff0c;自身不做认证…一、PAM简介 Sun公司1995年开发的一种与认证相关的通用框架机制PAM只关注如何为服务验证用户的API通过提供一些动态链接库和一套统一的API将系统提供的服务和该服务的认证方式分开PAM只是一个框架而已自身不做认证。 它提供了对所有服务进行认证的中央机制适用于login\telnet\rlogin\fsh\ftp\pp\su等应用程序中。 PAM-API 调用认证接口PAM-SPI 提供认证接口 对应的文件名pam_xxxx() PAM认证一般遵循这样的顺序Service-PAM配置文件-pam_*.so这就是调用机制 二、配置PAM PAM的目录 /lib64/security/pam* 全是pam模块/etc/security/ pam模块的配置文件/etc/pam.conf pam主配置文件默认不存在不推荐使用/etc/pam.d/ pam子配置文件推荐使用 我们查看/etc/pam.d/passwd [rootnewhostname 1372]# cat /etc/pam.d/passwd#%PAM-1.0auth include system-authaccount include system-authpassword substack system-auth-password optional pam_gnome_keyring.so use_authtokpassword substack postlogin[rootnewhostname 1372]# pam.conf文件格式1、第一列为type包括一下项目sessionauth 只负责账户的认证和授权account 负责账户相关但是是认证之后的password 负责用户修改口令时口令复杂度检查-type 表示因为缺失二不能加载的模块将不记录在日志内例-password -session pam.conf内每一行都要经过一次认证 2、第二列为control用来表示如何控制一般都是简单实现即一个关机自required 表示一票否决制本模块必须返回成功才能通过认证但如果失败继续检查但总体结果已经失败了。requisite 表示一票否决它和required不同的地方是不会继续向下认证直接返回失败。optional 表明本模块是可选的它的成功与否不会对身份认证起关键作用其返回值一般被忽略include 调用其他的配置文件中定义的配置信息sufficient:一票通过3、第三列为模块名具体路径的引用由主配置文件/etc/pam.conf 中定义 三、PAM模块示例 1、模块pam_securetty.so 功能只允许root用户在/etc/securetty列出的安全终端上登陆 例 允许root在telnet登陆 方法一[rootnewhostname 1372]# vim /etc/pam.d/remote#%PAM-1.0auth required pam_securetty.soauth substack password-authauth include postloginaccount required pam_nologin.soaccount include password-authpassword include password-auth# pam_selinux.so close should be the first session rulesession required pam_selinux.so closesession required pam_loginuid.so# pam_selinux.so open should only be followed by sessions to be executed in the user contextsession required pam_selinux.so opensession required pam_namespace.sosession optional pam_keyinit.so force revokesession include password-authsession include postlogin 注释auth required pam_securetty.so这一行 方法二[rootnewhostname 1372]# vim /etc/securetty添加pts/0pts/1pts/2pts/3...pts/9 第一种修改方法是直接通过禁用该模块实现的第二种方法则是修改pam的规则来实现的 关于如何获取修改pam模块的规则的方法可以通过 man 模块名来获得 2、模块pam_shells 功能检查有效shell 例 不允许使用/bin/csh的用户本地登录 [rootnewhostname 1372]# vim /etc/shells/bin/sh/bin/bash/sbin/nologin/usr/bin/sh/usr/bin/bash/usr/sbin/nologin/bin/tcsh/bin/csh 去掉 /bin/csh useradd –s /bin/csh testusertestuser将不可登录 3、模块pam_nologin.so 功能 如果/etc/nologin文件存在,将导致非root用户不能登陆如果用户shell是/sbin/nologin 时当该用户登陆时会显示/etc/nologin.txt文件内容并拒绝登陆 4、模块pam_limits.so 功能在用户级别实现对其可使用的资源的限制例如可打开的文件数量可运行的进程数量可用内存空间 修改限制的实现方式 (1) ulimit命令立即生效但无法保存-n 最多的打开的文件描述符个数-u 最大用户进程数-S 使用 soft软资源限制-H 使用 hard硬资源限制 (2) 配置文件/etc/security/limits.conf,/etc/security/limits.d/*.conf 配置文件每行一个定义domain type item value domain 应用于哪些对象 Username 单个用户group 组内所有用户* 所有用户 type 限制的类型 Soft 软限制,普通用户自己可以修改Hard 硬限制,由root用户设定且通过kernel强制生效– 二者同时限定 item 限制的资源 nofile 所能够同时打开的最大文件数量,默认为1024nproc 所能够同时运行的进程的最大数量,默认为1024 value 指定具体值 示例pam_limits.so 限制用户最多打开的文件数和运行进程数 查看 /etc/pam.d/system-auth内是否存在“session required pam_limits.so” vim /etc/security/limits.conf* soft nofile 102400* hard nofile 102400* soft nproc 40960* hard nproc 40960 设置所有人最大打开的进程数为40960设置虽有人最大打开的文件数为102400 四、总结 我们只是pam模块的使用户不是开发者每个模块的用法各不相同所以我们要知道如何去寻找pam模块的帮助我们可以通过man来查询模块的用法这个是最快的途径或者在官网上下载pam模块的文档也是一个不错的选择。 pam文档说明 /user/share/doc/pam-*rpm -qd pamman –k pam_模块名man 模块名 如man rootok pam模块手册《The Linux-PAM System Administrators’ Guide》 转载于:https://www.cnblogs.com/momenglin/p/8486069.html
