常見的PAM認證模塊簡介(2)

8．pam_group認證模塊

所屬類型：auth

功能描述：該模塊沒有提供用戶認證，而僅僅是授予該用戶指定組的組權限。其缺省的配置文件為/etc/security/groups.conf。

9．pam_issue認證模塊

所屬類型：auth

功能描述：該模塊在用戶登錄時，將/etc/issue文件的內容打印出來。

可帶參數：
issue=filename：指定其他配置文件，而不是缺省的/etc/issue.
noesc：不對配置文件中的轉移字符進行解釋。

配置文件說明：
配置文件中可以使用形如x的轉移字符來實現特定的功能?？梢宰R別的轉移字符有：
d：打印當前日期
s：打印操作系統名稱
l：打印當前tty名稱
m：打印CPU類型（i686、sparc、powerpc等）
：打印主機名
o：打印域名

：打印內核版本號
：打印當前系統時間
u：打印系統當前在線用戶數
U：同u，但是在用戶數后有users字樣
v：打印系統安裝的日期

配置文件實例：
$ more /etc/issue

Welcome to

Time: d
User online: U

10.pam_lastlog認證模塊

所屬類型：auth

功能描述：該模塊在用戶登錄時，打印最后登錄系統的信息（在/var/log/lastlog中），通常已經有其他程序在作這個工作了，所以沒有必要使用該模塊。

11.pam_limits認證模塊

所屬類型：session

功能描述：該模塊限制用戶會話過程中系統資源的使用率。缺省的，該模塊的配置文件是/etc/security/limits.conf，可以使用conf參數指定自定義的配置文件。

可帶參數：
issue=filename：指定其他配置文件，而不是缺省的/etc/issue.
noesc：不對配置文件中的轉移字符進行解釋。

配置文件說明：
debug：將調試信息寫入日志
conf=filename：指定配置文件

配置文件說明：該配置文件每一行（一個條目）的語法如下：

在這里
可以是
用戶名
用戶組名，采用@group的語法
通配符*，表示任何
可以是
soft－表示軟限制，可以超過該限制
hard－表示硬限制，有root設定，內核執行，不可以超過該限制
可以是
core－core文件大小 (KB)
data－最大數據大小(KB)
fsize－最大文件大小(KB)
memlock－最大可用內存空間(KB)
nofile－最大可以打開的文件數量
rss－最大可駐留空間(KB)
stack－最大堆?？臻g(KB)
cpu－最大CPU使用時間（MIN）
nproc－最大運行進程數
as－地址空間限制
maxlogins－某一用戶可以登錄到系統的最多次數
locks－最大鎖定文件數目
需要注意的是，如果無限制可以使用”-”號，并且針對用戶限制的優先級要比針對組的
優先級高。

配置文件實例：
* soft core 0
* hard rss 10000
@student hard nproc 20
@faculty soft nproc 20
@faculty hard nproc 50

12.pam_listfile認證模塊

所屬類型：auth

功能描述：該模塊提供根據某種規則來對用戶進行訪問控制的功能。通常把訪問控制規則放在一個文件中，可以用file參數指定該文件。一般可以根據用戶名、登錄tty名、rhost、ruser、所屬用戶組、登錄shell來對用戶訪問進行控制。

可帶參數：
item=[tty|user|rhost|ruser|group|shell]：定義所采用的規則；
onerr=succeed|fail：定義當出現錯誤（比如無法打開配置文件）時的缺省返回值；
sense=allow|deny：定義當再配置文件中找到符合條件的項目時的返回值；如果沒有找到符合條件的項目，則返回相反的值；
file=filename：指定配置文件
：定義采用非user和group的規則時，這些規則所應用的對象。

配置實例：
比如/etc/pam.d/ftp:
$ more /etc/pam.d/ftp
#%PAM-1.0
auth required /lib/security/pam_listfile.so item=user sense=deny file=
/etc/ftpusers onerr=succeed
auth required /lib/security/pam_pwdb.so shadow nullok
# This is disabled because anonymous logins will fail otherwise,
# unless you give the @#ftp@# user a valid shell, or /bin/false and add
# /bin/false to /etc/shells.
#auth required /lib/security/pam_shells.so
account required /lib/security/pam_pwdb.so
session required /lib/security/pam_pwdb.so
該配置文件的第一句，就指定了根據用戶名來對訪問進行控制（item=user）。配置文件為/etc/ftpaccess（file=/etc/ftpusers），當登錄用戶的用戶名在配合文件出現時拒絕訪問（sense=deny），當配置文件中沒有符合的條目時允許其訪問（onerr=succeed）。

13.pam_mail認證模塊

所屬類型：auth，session

功能描述：檢查用戶的郵件目錄，查看該用戶是否有新郵件。通常已經有其他程序在作這個工作了，所以沒有必要使用該模塊。

可帶參數：
debug：將調試信息寫入日志
dir=pathname：用于指定用戶的郵箱路徑，通常是/var/spool/mail，如果是以~開頭表示該郵箱位于用戶的宿主目錄下。
nopen：不向用戶提示郵件信息。
close：總是向用戶提示郵件信息。
noenv：不設置MAIL環境變量。
empty：如果用戶郵箱為空，也向用戶提示郵件信息。
quiet：即使用戶有新郵件也不向用戶提示。

14.pam_mkhomedir認證模塊

所屬類型： session

功能描述：在用戶登錄時為用戶興建宿主目錄，該功能在采用ldap或者數據庫存儲用戶數據時特別有用。

可帶參數：
debug：將調試信息寫入日志
skel=dir：指定用戶包含初始化腳本的目錄；
umask=octal：與umask命令一樣，設置用戶創建文件時預設的權限掩碼。

15.pam_motd認證模塊

所屬類型： session

功能描述：在用戶成功登錄系統后顯示message of today(今天的信息)，缺省是顯示/etc/motd文件的內容，可以用motd參數指定不同的配置文件。

可帶參數：
motd=filename：指定自定義的配置文件。

16.pam_nologin認證模塊

所屬類型： auth

功能描述：提供標準的UNIX nologin登錄認證。如果/etc/nologin文件存在，則只有root用戶可以登錄，其他用戶登錄時只會得到/etc/nologin文件的內容。如果/etc/nologin不存在，則該模塊沒有作用。

可帶參數：無

17.pam_permit認證模塊

所屬類型： account; auth; password; session

功能描述：使用該模塊具有很大的安全風險，該模塊的唯一功能就是允許用戶登錄。

可帶參數：無

18.pam_pwdb認證模塊

所屬類型： account; auth; password; session

功能描述：該模塊是標準UNIX認證模塊pam_unix的替代模塊。

在作為auth類型使用時，此時該模塊可識別的參數有debug、audit、use_first_pass、try_first_pass、nullok、nodelay，主要功能是驗證用戶密碼的有效性，在缺省情況下（即不帶任何參數時），該模塊的主要功能是禁止密碼為空的用戶提供服務；

在作為account類型使用時，此時該模塊可識別的參數有debug、audit，該模塊主要執行建立用戶帳號和密碼狀態的任務，然后執行提示用戶修改密碼，用戶采用新密碼后才提供服務之類的任務；

在作為password類型使用時，此時該模塊可識別的參數有debug、 audit、 nullok;、not_set_pass、use_authtok、try_first_pass、use_first_pass、md5、bigcrypt、shadow，該模塊完成讓用戶更改密碼的任務；

在作為session類型使用時，此時該模塊沒有可識別的參數，該模塊僅僅完成記錄用戶名和服務名到日志文件的工作。

可帶參數：
debug：將調試信息寫入日志
audit：記錄更為信息的信息
nullok：缺省情況下，如果用戶輸入的密碼為空，則系統能夠不對其提供任何服務。但是如果使用參數，用戶不輸入密碼就可以獲得系統提供的服務。同時，也允許用戶密碼為空時更改用戶密碼。
nodelay：當用戶認證失敗，系統在給出錯誤信息時會有一個延遲，這個延遲是為了防止
黑客猜測密碼，使用該參數時，系統將取消這個延遲。通常這是一個1秒鐘的延遲。
try_first_pass：在用作auth模塊時，該參數將嘗試在提示用戶輸入密碼前，使用前面一個堆疊的auth模塊提供的密碼認證用戶；在作為password模塊使用時，該參數是為了防止用戶將密碼更新成使用以前的老密碼。
use_first_pass：在用作auth模塊時，該參數將在提示用戶輸入密碼前，直接使用前面一個堆疊的auth模塊提供的密碼認證用戶；在作為password模塊使用時，該參數用來防止用戶將密碼設置成為前面一個堆疊的password模塊所提供的密碼。
no_set_pass：使密碼對前后堆疊的password模塊無效。
use_authok：強制使用前面堆疊的password模塊提供的密碼，比如由pam_cracklib模塊提供的新密碼。
md5：采用md5對用戶密碼進行加密。
shadow：采用影子密碼。
unix：當用戶更改密碼時，密碼被放置在/etc/passwd中。
bigcrype：采用DEC C2算法加密用戶密碼。

配置實例：
參考/etc/pam.d/ftp

原文轉自：http://www.kjueaiud.com