常见的PAM认证模块简介

概述:本文介绍常见的PAM认证模块,包括每一个模块的所属类型、功能描述连同可识别的参数,有配置文档的,我们给出了配置文档的简单说明,其中一部分模块,我们还给出了配置实例。希望通过我们的介绍,使读者对常用的PAM认证模块有一定的了解。本文的介绍是基于RedHat7.x系统。水平有限,不足之处请读者批评指正。
1.pam_access认证模块
所属类型:account
功能描述:该模块提供基于登录用户名、客户ip/主机名、网络号连同登录终端号的访问控制。缺省的,该模块的配置文档是/etc/security/access.conf,能够使用accessfile参数指定自定义的配置文档。
可带参数:accessfile=/path/to/file.conf
配置文档说明: 该文档的每一行由如下三个字段构成,中间使用冒号分割: 权限 : 用户 : 来源
权限字段能够是”+”(即允许访问),”-”(禁止访问);
用户字段能够是用户名、组名连同诸如 user@host
格式的用户名,ALL表示任何人, 具备多个值时,能够用空格分开。 来源字段能够是tty名称(本地登录时)、主机名、域名(以”.”开始),主机ip地址,网络号(以”.”结束)。ALL表示任何主机,LOCAL表示本地登录。 能够使用EXCEPT操作符来表示除了…之外。
配置实例: 只有bye2000能够从本地登录主机。 编辑/etc/pam.d/login如下所示:
#%PAM-1.0
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_stack.so service=system-auth
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_stack.so service=system-auth
account required /lib/security/pam_access.so
password required /lib/security/pam_stack.so service=system-auth
session required /lib/security/pam_stack.so service=system-auth
session optional /lib/security/pam_console.so
也即加上 account required /lib/security/pam_access.so 然后在/etc/security/access.conf中加上: -:ALL EXCEPT bye2000 : LOCAL 假如禁止root以外的任何人从任何地方登录,能够在/etc/security/access.conf中加上: -:ALL EXCEPT root: ALL
2.pam_chroot认证模块
w
3.pam_cracklib认证模块
所属类型:password
功能描述:该模块对用户密码提供强健性检测。换句话说,您能够定义用户密码的方方面面,比如密码长度、密码的复杂程度等等。
可带参数: debug:将调试信息写入日志 type=xxx:添加/修改密码时,系统的缺省提示符是” New UNIX password:”连同” Retype UNIX password:”,使用该参数能够自定义提示符中的UNIX,比如指定type=your. retry=N:定义添加/修改密码失败时,能够重试的次数。 Difok=N:定义新密码中必须有几个字符要和旧密码不同。但是假如新密码中有1/2以上的字符和旧密码不同时,该新密码将被接受。 minlen=N:定义密码最小长度。 dcredit=N:定义密码中能够包含数字的最大数目。 ucredit=N:定义密码中能够包含的大写字母的最大数目。 lcredit=N:定义密码中能够包含的小写字母的最大数目。 ocredit=N:定义密码中能够包含的其他字符(除数字、字母之外)的最大数目。
配置实例: 请参考/etc/pam.d/system-auth文档
4.pam_deny认证模块
所属类型:account, session, auth,password
功能描述:该模块仅仅返回一个错误。用来拒绝用户访问。通常该模块被用来作为缺省的验证规则。
可带参数:无
配置实例: 请参考/etc/pam.d/system-auth文档
5.pam_env认证模块
所属类型: auth
功能描述:该模块能够用来配置任意的环境变量,缺省的,该模块的配置文档是/etc/security/pam_env.conf,能够使用conffile参数指定自定义的配置文档。
配置文档说明:该配置文档每一行(一个条目)的语法如下: 变量名 [DEFAULT=[值]] [OVERRIDE=[值]] 选项DEFAULT说明这是个缺省值;OVERRIDE则说明能够覆盖缺省值。在该配置文档中,能够使用${变量名}的形式应用变量。除此之外,该模块还能够从/etc/environment文档中读入形如“变量名=值”的环境变量,当然该文档也能够用readenv参数自己指定。需要注意的是,该文档的读入的值,将覆盖conffile文档中的缺省值。
可带参数: debug:将调试信息写入日志 conffile=filename:指定自定义的配置文档; readenv=filename:指定自定义包含“变量名=值”形式的环境变量配置文档; readenv=1/0:配置是否从readenv中读入环境变量,缺省是1,也即读入。
配置实例: 请参考/etc/pam.d/system-auth文档
6.pam_filter认证模块
所属类型:account, session, auth,password
功能描述:该模块提供对用户和应用程式交互内容的访问控制功能,现在仅仅具备大小写转换功能。该模块更有待完善。
7.pam_ftp认证模块
所属类型:auth
功能描述:该模块提供匿名ftp用户认证机制。
可带参数: debug:将调试信息写入日志 users=xxx,     yyy:指定采用该模块进行认证的用户名,缺省为ftp和anonymous,能够用逗号进行分割;
8.pam_group认证模块
所属类型:auth
功能描述:该模块没有提供用户认证,而仅仅是授予该用户指定组的组权限。其缺省的配置文档为/etc/security/groups.conf。
9.pam_issue认证模块
所属类型:auth
功能描述:该模块在用户登录时,将/etc/issue文档的内容打印出来。
可带参数: issue=filename:指定其他配置文档,而不是缺省的/etc/issue. noesc:不对配置文档中的转移字符进行解释。
配置文档说明: 配置文档中能够使用形如x的转移字符来实现特定的功能。能够识别的转移字符有: d:打印当前日期 s:打印操作系统名称 l:打印当前tty名称 m:打印CPU类型(i686、sparc、powerpc等) :打印主机名 o:打印域名
:打印内核版本号 :打印当前系统时间 u:打印系统当前在线用户数 U:同u,但是在用户数后有users字样 v:打印系统安装的日期
配置文档实例: $ more /etc/issue
Welcome to
Time: d User online: U
10.pam_lastlog认证模块
所属类型:auth
功能描述:该模块在用户登录时,打印最后登录系统的信息(在/var/log/lastlog中),通常已有其他程式在作这个工作了,所以没有必要使用该模块。
11.pam_limits认证模块
所属类型:session
功能描述:该模块限制用户会话过程中系统资源的使用率。缺省的,该模块的配置文档是/etc/security/limits.conf,能够使用conf参数指定自定义的配置文档。
可带参数: issue=filename:指定其他配置文档,而不是缺省的/etc/issue. noesc:不对配置文档中的转移字符进行解释。
配置文档说明: debug:将调试信息写入日志 conf=filename:指定配置文档
配置文档说明:该配置文档每一行(一个条目)的语法如下:
在这里 能够是 用户名 用户组名,采用@group的语法 通配符*,表示任何 能够是 soft-表示软限制,能够超过该限制 hard-表示硬限制,有root设定,内核执行,不能够超过该限制 能够是 core-core文档大小 (KB) data-最大数据大小(KB) fsize-最大文档大小(KB) memlock-最大可用内存空间(KB) nofile-最大能够打开的文档数量 rss-最大可驻留空间(KB) stack-最大堆栈空间(KB) cpu-最大CPU使用时间(MIN) nproc-最大运行进程数 as-地址空间限制 maxlogins-某一用户能够登录到系统的最多次数 locks-最大锁定文档数目 需要注意的是,假如无限制能够使用”-”号,并且针对用户限制的优先级要比针对组的 优先级高。
配置文档实例: * soft core 0 * hard rss 10000 @student hard nproc 20 @faculty soft nproc 20 @faculty hard nproc 50
12.pam_listfile认证模块
所属类型:auth
功能描述:该模块提供根据某种规则来对用户进行访问控制的功能。通常把访问控制规则放在一个文档中,能够用file参数指定该文档。一般能够根据用户名、登录tty名、rhost、ruser、所属用户组、登录shell来对用户访问进行控制。
可带参数: item=[tty|user|rhost|ruser|group|shell]:定义所采用的规则; onerr=succeed|fail:定义当出现错误(比如无法打开配置文档)时的缺省返回值; sense=allow|deny:定义当再配置文档中找到符合条件的项目时的返回值;假如没有找到符合条件的项目,则返回相反的值; file=filename:指定配置文档
[email=apply=user|@group]apply=user|@group[/email]
:定义采用非user和group的规则时,这些规则所应用的对象。
配置实例: 比如/etc/pam.d/ftp: $ more /etc/pam.d/ftp #%PAM-1.0
auth required /lib/security/pam_listfile.so item=user sense=deny file= /etc/ftpusers onerr=succeed
auth required /lib/security/pam_pwdb.so shadow nullok
# This is disabled because anonymous logins will fail otherwise,
# unless you give the ‘ftp’ user a valid shell, or /bin/false and add # /bin/false to /etc/shells.
#auth required /lib/security/pam_shells.so
account required /lib/security/pam_pwdb.so
session required /lib/security/pam_pwdb.so
该配置文档的第一句,就指定了根据用户名来对访问进行控制(item=user)。配置文档为/etc/ftpaccess(file=/etc/ftpusers),当登录用户的用户名在配合文档出现时拒绝访问(sense=deny),当配置文档中没有符合的条目时允许其访问(onerr=succeed)。
13.pam_mail认证模块
所属类型:auth,session
功能描述:检查用户的邮件目录,查看该用户是否有新邮件。通常已有其他程式在作这个工作了,所以没有必要使用该模块。
可带参数: debug:将调试信息写入日志 dir=pathname:用于指定用户的邮箱路径,通常是/var/spool/mail,假如是以~开头表示该邮箱位于用户的宿主目录下。 nopen:不向用户提示邮件信息。 close:总是向用户提示邮件信息。 noenv:不配置MAIL环境变量。 empty:假如用户邮箱为空,也向用户提示邮件信息。 quiet:即使用户有新邮件也不向用户提示。
14.pam_mkhomedir认证模块
所属类型: session
功能描述:在用户登录时为用户兴建宿主目录,该功能在采用ldap或数据库存储用户数据时特别有用。
可带参数: debug:将调试信息写入日志 skel=dir:指定用户包含初始化脚本的目录; umask=octal:和umask命令相同,配置用户创建文档时预设的权限掩码。
15.pam_motd认证模块
所属类型: session
功能描述:在用户成功登录系统后显示message of today(今天的信息),缺省是显示/etc/motd文档的内容,能够用motd参数指定不同的配置文档。
可带参数: motd=filename:指定自定义的配置文档。
16.pam_nologin认证模块
所属类型: auth
功能描述:提供标准的UNIX nologin登录认证。假如/etc/nologin文档存在,则只有root用户能够登录,其他用户登录时只会得到/etc/nologin文档的内容。假如/etc/nologin不存在,则该模块没有作用。
可带参数:无
17.pam_permit认证模块
所属类型: account; auth; password; session
功能描述:使用该模块具备很大的安全风险,该模块的唯一功能就是允许用户登录。
可带参数:无
18.pam_pwdb认证模块
所属类型: account; auth; password; session
功能描述:该模块是标准UNIX认证模块pam_unix的替代模块。
在作为auth类型使用时,此时该模块可识别的参数有debug、audit、use_first_pass、try_first_pass、nullok、nodelay,主要功能是验证用户密码的有效性,在缺省情况下(即不带任何参数时),该模块的主要功能是禁止密码为空的用户提供服务;
在作为account类型使用时,此时该模块可识别的参数有debug、audit,该模块主要执行建立用户帐号和密码状态的任务,然后执行提示用户修改密码,用户采用新密码后才提供服务之类的任务;
在作为password类型使用时,此时该模块可识别的参数有debug、 audit、 nullok;、not_set_pass、use_authtok、try_first_pass、use_first_pass、md5、bigcrypt、shadow,该模块完成让用户更改密码的任务;
在作为session类型使用时,此时该模块没有可识别的参数,该模块仅仅完成记录用户名和服务名到日志文档的工作。
可带参数: debug:将调试信息写入日志 audit:记录更为信息的信息 nullok:缺省情况下,假如用户输入的密码为空,则系统能够不对其提供任何服务。但是假如使用参数,用户不输入密码就能够获得系统提供的服务。同时,也允许用户密码为空时更改用户密码。 nodelay:当用户认证失败,系统在给出错误信息时会有一个延迟,这个延迟是为了防止 黑客猜测密码,使用该参数时,系统将取消这个延迟。通常这是个1秒钟的延迟。 try_first_pass:在用作auth模块时,该参数将尝试在提示用户输入密码前,使用前面一个堆叠的auth模块提供的密码认证用户;在作为password模块使用时,该参数是为了防止用户将密码更新成使用以前的老密码。 use_first_pass:在用作auth模块时,该参数将在提示用户输入密码前,直接使用前面一个堆叠的auth模块提供的密码认证用户;在作为password模块使用时,该参数用来防止用户将密码配置成为前面一个堆叠的password模块所提供的密码。 no_set_pass:使密码对前后堆叠的password模块无效。 use_authok:强制使用前面堆叠的password模块提供的密码,比如由pam_cracklib模块提供的新密码。 md5:采用md5对用户密码进行加密。 shadow:采用影子密码。 unix:当用户更改密码时,密码被放置在/etc/passwd中。 bigcrype:采用DEC C2算法加密用户密码。
配置实例: 参考/etc/pam.d/ftp
19.pam_rhosts_auth认证模块
所属类型: auth
功能描述:该模块为标准的网络服务(诸如rlogin、rsh)提供认证。
可带参数:请参考PAM文档说明
20.pam_rootok认证模块
所属类型: auth
功能描述:使用该模块具备很大的安全风险,该模块的唯一功能就是让uid为0的用户不需输入密码就能够登录系统。
可带参数:无
21.pam_securetty认证模块
所属类型: auth
功能描述:该模块用来控制root用户只能够从包含在/etc/securetty文档中的终端登录系统。
22.pam_shell认证模块
所属类型: auth
功能描述:假如用户的shell在/etc/shells中列出,则允许用户进行验证,假如/etc/passwd中没有指定shell,则缺省使用/bin/sh.
23.pam_time认证模块
所属类型: account
功能描述:对用户访问服务提供时间控制,也就是说,用来控制用户能够访问服务的时间,配置文档为:/etc/security/pam.conf。
可带参数:无
配置文档说明:
每一行的构成语法如下:
services; ttys; users; times
services:服务名称
ttys:规则生效的终端名,能够*号表示任何终端,!表示非。
users:规则作用的用户,能够*号表示任何用户,!表示非。
times:指定时间,通常使用日期时间格式。用两个字母指定日期,比如MoTuSa就是指星期一星期二和星期六。注意重复的部分将被排除在外,比如MoTuMo就指星期二,MoWk指除了星期一以外的每一天。两个字母的组合有:
Mo Tu We Th Fr Sa Su Wk Wd Al
Mo到Su分别指从星期一到星期天,Wk指每一天,Wd指周末,Al也指每一天。
采用24小时制指定时间,也即采用HHMM的形式。比如Mo1800-0300就是每个星期一的下午6点到第二天的凌晨3点。
24.pam_unix认证模块
所属类型: account; auth; password; session
功能描述:该模块是标准UNIX认证模块pam_unix的替代模块。
在作为auth类型使用时,此时该模块可识别的参数有debug、audit、use_first_pass、try_first_pass、nullok、nodelay,主要功能是验证用户密码的有效性,在缺省情况下(即不带任何参数时),该模块的主要功能是禁止密码为空的用户提供服务;
在作为account类型使用时,此时该模块可识别的参数有debug、audit,该模块主要执行建立用户帐号和密码状态的任务,然后执行提示用户修改密码,用户采用新密码后才提供服务之类的任务;
在作为password类型使用时,此时该模块可识别的参数有debug、 audit、 nullok;、not_set_pass、use_authtok、try_first_pass、use_first_pass、md5、bigcrypt、shadow、nis、
remember,该模块完成让用户更改密码的任务;
在作为session类型使用时,此时该模块没有可识别的参数,该模块仅仅完成记录用户名和服务名到日志文档的工作。
可带参数:
debug:将调试信息写入日志
audit:记录更为信息的信息
nullok:缺省情况下,假如用户输入的密码为空,则系统能够不对其提供任何服务。但是假如使用参数,用户不输入密码就能够获得系统提供的服务。同时,也允许用户密码为空时更改用户密码。
nodelay:当用户认证失败,系统在给出错误信息时会有一个延迟,这个延迟是为了防止
黑客猜测密码,使用该参数时,系统将取消这个延迟。通常这是个1秒钟的延迟。
try_first_pass:在用作auth模块时,该参数将尝试在提示用户输入密码前,使用前面一个堆叠的auth模块提供的密码认证用户;在作为password模块使用时,该参数是为了防止用户将密码更新成使用以前的老密码。
use_first_pass:在用作auth模块时,该参数将在提示用户输入密码前,直接使用前面一个堆叠的auth模块提供的密码认证用户;在作为password模块使用时,该参数用来防止用户将密码配置成为前面一个堆叠的password模块所提供的密码。
no_set_pass:使密码对前后堆叠的password模块无效。
use_authok:强制使用前面堆叠的password模块提供的密码,比如由pam_cracklib模块提供的新密码。
md5:采用md5对用户密码进行加密。
shadow:采用影子密码。
unix:当用户更改密码时,密码被放置在/etc/passwd中。
bigcrype:采用DEC C2算法加密用户密码。
nis:使用NIS远处过程调用来配置新密码。
remember=x:记录x个使用过的旧密码,这些旧密码以MD5方式加密后被保存在/etc/security/opasswd文档中。
broken_shadow:在作为account使用时,该参数用来忽略对影子密码的读错误。
likeauth:未知。
配置实例:
参考/etc/pam.d/system-auth
25.pam_userdb认证模块
所属类型: auth
功能描述:使用该模块允许您通过一个Berkeley数据库来验证用户,假如您使用这种数据库来保存用户信息的话。
可带参数:
debug:将调试信息写入日志
icase:忽略密码大小写
dump:将数据库中的任何条目记录在日志文档中,有安全隐患。
db=filename:指定数据库文档的完整路径。
use_authok:强制使用前面堆叠的auth模块提供的密码。
unknown_ok:当数据库中没有用户信息时,不返回错误。
配置实例:
#%PAM-1.0
auth required pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
auth sufficient pam_userdb.so icase db=/tmp/dbtest
auth required pam_pwdb.so shadow nullok try_first_pass
auth required pam_shells.so
account required pam_pwdb.so
session required pam_pwdb.so
26.pam_warn认证模块
所属类型: auth,password
功能描述:记录服务、终端名、用户名、远程主机等信息到日志文档。
27.pam_stack认证模块
所属类型: auth,account, password,session
功能描述:该模块能够用来实现pam认证的递归调用。
可带参数:
debug:将调试信息写入日志
service=name:指定调用的配置文档。
配置实例:
参考/etc/pam.d/login