PAM是什么?
PAM(可插入认证模块)是UNIX操作系统上一个实现模块化的身份验证的服务。当程序需要对用户进行身份验证时加载并执行。PAM文件通常位于/etc/pam.d目录中。
而Linux-PAM,是linux可插拔认证模块,是一套可定制、可动态加载的共享库,使本地系统管理员可以随意选择程序的认证方式。
需要注意的是,/etc/pam.d目录中的文件默认只有root管理员用户有权限修改,也可针对root本身做一些配置,调整前需要了解每一个配置项的含义,防止出现乌龙配置,一旦配置失误错禁了root身份验证,导致系统无法登录,只能到单用户或救援模式紧急恢复。
常见的配置文件
在redhat中,pam.d目录下有以下内容:
重要文件介绍:
| 文件名 | 描述 |
|---|---|
| login | 本地登陆的认证方式 |
| sshd | 通过ssh服务远程登陆的认证方式 |
| sudo | 使用sudo提权时的认证方式 |
| common-auth | 通用身份认证模块 |
| common-password | 通用密码规则模块 |
| common-account | 通用账户管理模块,主要定义了账户权限的相关规则- |
| common-session | 通用会话管理模块 |
pam认证的构成
每一行大致可以区分为三个字段:
认证类型 控制类型 PAM模块及其参数
第一列代表PAM认证模块类型
auth:认证、授权(检查用户的名字、密码是否正确
account:检查用户的帐户是否到期、禁用等
session:控制会话
password:控制用户修改密码过程
第二列代表PAM控制标记
required:必须通过此认证,否则不再往下认证下去,直接退出
requisite:必须通过认证,但以后还有机会,可以往下认证
sufficient:一经通过,后面的不再认证(只要通过这个条件则直接通过)
optional:可选项,通不通过均可
第三列代表PAM模块和PAM模块的参数,默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径
常用pam模块:
| 名称 | 描述 |
|---|---|
| pam_access.so | 控制访问者的地址与帐号的名称 |
| pam_listfile.so | 控制访问者的帐号名称或登陆位置 |
| pam_limits.so | 控制为用户分配的资源 |
| pam_rootok.so | 对管理员(uid=0)无条件通过 |
| pam_userdb.so | 设定独立用户帐号数据库认证 |
常见配置修改
root用户登录设置
修改文件 /etc/pam.d/system-auth
在 pam_env.so下一行添加
pam_tally2.so onerr=fail deny=3 unlock_time=100 even_deny_root root_unlock_time=100
- onerr=fail 表示定义了当出现错误时的缺省返回值;
- even_deny_root 表示也限制root用户;
- deny 表示设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;
- unlock_time 表示设定普通用户锁定后,多少时间后解锁,单位是秒;
- root_unlock_time 表示设定root用户锁定后,多少时间后自动解锁否则手动,单位是秒;
ssh远程登录限制
修改文件 /etc/pam.d/sshd
在 pam_sepermit.so下一行添加
pam_tally2.so onerr=fail deny=3 unlock_time=100 even_deny_root root_unlock_time=100
pam_tally2 –u 账号 查看失败登录
pam_tally2 --user <用户名> --reset 重置失败登录(需要管理员账户执行)
