Linux系統(tǒng)pam的服務(wù)模塊及如何認(rèn)證

這篇文章跟大家分析一下“Linux系統(tǒng)pam的服務(wù)模塊及如何認(rèn)證”。內(nèi)容詳細(xì)易懂，對(duì)“Linux系統(tǒng)pam的服務(wù)模塊及如何認(rèn)證”感興趣的朋友可以跟著小編的思路慢慢深入來(lái)閱讀一下，希望閱讀后能夠?qū)Υ蠹矣兴鶐椭Ｏ旅娓【幰黄鹕钊雽W(xué)習(xí)“Linux系統(tǒng)pam的服務(wù)模塊及如何認(rèn)證”的知識(shí)吧。

PAM主要是由一組共享庫(kù)文件（也就是后綴名為.so文件）和一些配置文件組成的用于系統(tǒng)服務(wù)授權(quán)的一套東西。

一、常用的pam服務(wù)模塊

下面是Linux提供的PAM模塊列表（只是其中一部分），這其中包含模塊文件、模塊功能描述和相關(guān)配置文件，具體如下：

pam_access 提供logdaemon風(fēng)格登錄控制 /etc/security/access.conf

pam_chroot 提供類似chroot命令的功能

pam_cracklib 對(duì)密碼的強(qiáng)度進(jìn)行一定的檢查 庫(kù)文件libcrack和字典文件

/usr/lib/cracklib_dict

pam_deny 總是無(wú)條件地使認(rèn)證失敗

pam_env 設(shè)置取消環(huán)境變量 /etc/security/pam_env.conf

pam_filter 對(duì)輸入輸出流進(jìn)行過(guò)濾 filters

pam_ftp.so 對(duì)匿名ftp用戶進(jìn)行認(rèn)證

pam_group 當(dāng)用戶在指定的終端上請(qǐng)求指定的 /etc/security/group.conf

服務(wù)時(shí)賦予該用戶相應(yīng)的組權(quán)限

pam_issue 在提示用戶輸入用戶名之前顯示 /etc/issue

/etc/issue文件的內(nèi)容

pam_krb4 對(duì)用戶密碼進(jìn)行Kerberos認(rèn)證相應(yīng)的Kerberos庫(kù)文件

pam_lastlog 在用戶登錄成功后顯示關(guān)于 /var/log/lastlog

用戶上次登錄的信息，并維護(hù)

/var/log/lastlog文件。

pam_limits 限制用戶會(huì)話所能使用的系統(tǒng)資源 /etc/security/limits.conf

pam_listfile 根據(jù)指定的某個(gè)文件決定是否 例如/etc/ftpusers

允許或禁止提供服務(wù)

pam_mail 檢查用戶的郵箱中是否有新郵件 /var/spool/mail/xxxx

pam_mkhomedir 為用戶建立主目錄 /etc/skel/

pam_motd 顯示/etc/motd文件的內(nèi)容 /etc/motd

pam_nologin 根據(jù)/etc/nologin文件的存在與否 /etc/nologin

來(lái)決定用戶認(rèn)證是否成功

pam_permit 總是無(wú)條件地使認(rèn)證成功

pam_pwdb 作為pam_unix_xxxx模塊的一個(gè)替代。/etc/pwdb.conf

使用Password Database通用接口進(jìn)行認(rèn)證。

pam_radius 提供遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(RADIUS)的認(rèn)證

pam_rhosts_auth 利用文件/.rhosts和/etc/hosts.equiv和/.rhosts

/etc/hosts.equiv對(duì)用戶進(jìn)行認(rèn)證。

pam_rootok 檢查用戶是否為超級(jí)用戶，如果是超級(jí)用戶(uid=0)則無(wú)條件地通過(guò)認(rèn)證。

pam_securetty 提供標(biāo)準(zhǔn)的Unix securetty檢查 /etc/securetty

pam_time 提供基于時(shí)間的控制，比如限制 /etc/security/time.conf

用戶只能在某個(gè)時(shí)間段內(nèi)才能登錄

pam_unix 提供標(biāo)準(zhǔn)的Unix認(rèn)證 /etc/passwd和/etc/shadow

pam_userdb 利用Berkeley DB數(shù)據(jù)庫(kù)來(lái)檢查用戶/密碼

pam_warn 利用syslog( )記錄一條告警信息

pam_wheel 只允許wheel組的用戶有超級(jí)用戶的存取權(quán)限

二、pam認(rèn)證的應(yīng)用

1、案例1（pam_access.so)

現(xiàn)有一賬號(hào)user1 只允許192.168.2.1 ssh登錄

(1)安裝pam

[root@huangzhong ~]# mount /dev/cdrom /media/cdrom/

[root@huangzhong ~]# cd /media/cdrom/Packages/

[root@huangzhong Packages]# ll |grep pam //過(guò)濾與pam相關(guān)的包

[root@huangzhong Packages]# yum install pam-1.1.1-13.el6.x86_64.rpm

(2)因?yàn)橄拗苨sh登錄，所以這里要用到sshd模塊，因此要編輯/etc/pam.d/

[root@huangzhong ~]# cd /etc/pam.d/

[root@huangzhong pam.d]# vim sshd

(3)編輯access.so模塊的配置文件

[root@huangzhong pam.d]# vim /etc/security/access.conf

(4)測(cè)試驗(yàn)證

//新建user1用戶

[root@huangzhong ~]# useradd user1

[root@huangzhong ~]# passwd user1

Changing password for user user1.

New password:

BAD PASSWORD: it is WAY too short

BAD PASSWORD: is too simple

Retype new password:

passwd: all authentication tokens updated successfully.

//在本地ssh登錄測(cè)試結(jié)果如下：

//在192.168.2.1上ssh登錄，結(jié)果如下：

在這里也可以通過(guò)查看日志信息，查看登錄的結(jié)果，所要查看的日志是：

[root@huangzhong ~]# tail -f /var/log/secure

2、案例2（pam_listfile.so）

在對(duì)Linux服務(wù)器進(jìn)行管理時(shí)，只允許manager組的用戶可以管理，是通過(guò)ssh管理。

(1) 因?yàn)橄拗苨sh登錄，所以這里要用到sshd模塊，因此要編輯/etc/pam.d/

[root@huangzhong ~]# cd /etc/pam.d/

[root@huangzhong pam.d]# vim sshd

(2) 創(chuàng)建manager組，并編輯一些用戶

[root@huangzhong pam.d]# vim /etc/manager

//創(chuàng)建用戶user2和user3，并給予口令

(3) 登錄測(cè)試

使用user1登錄測(cè)試

使用user2和user3登錄測(cè)試結(jié)果如下：

3、案例3（pam_limts.so）

限制user1，ssh在線的登陸次數(shù)為2次

（1） 因?yàn)橄拗苨sh登錄，所以這里要用到sshd模塊，因此要編輯/etc/pam.d/

[root@huangzhong ~]# cd /etc/pam.d/

[root@huangzhong pam.d]# vim sshd

(2) 編輯/etc/security/limits.conf 文件

[root@huangzhong pam.d]# vim /etc/security/limits.conf

(3) 登錄測(cè)試

使用user1登錄3次測(cè)試結(jié)果如下：

查看日志信息如下：

[root@huangzhong pam.d]# tail -f /var/log/secure

關(guān)于Linux系統(tǒng)pam的服務(wù)模塊及如何認(rèn)證就分享到這里啦，希望上述內(nèi)容能夠讓大家有所提升。如果想要學(xué)習(xí)更多知識(shí)，請(qǐng)大家多多留意小編的更新。謝謝大家關(guān)注一下億速云網(wǎng)站！