quiet account required /lib/security/$ISA/pam_permit.so 在 作为password类型使用时,此时该板块可识别的参数有debug、 audit、 nullok;、not_set_pass、use_authtok、try_first_pass、use_first_pass、md5、 bigcrypt、shadow、nis、 remember,该板块完成让用户更改密码的使命; password requisite /lib/security/$ISA/pam_cracklib.so retry=3 password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow password required /lib/security/$ISA/pam_deny.so 在作为session类型使用时,此时该板块没有可识别的参数,该板块仅仅完成记录用户名和办事名到日志文件的工作。 session required /lib/security/$ISA/pam_limits.so session required /lib/security/$ISA/pam_unix.so 可带参数: debug:将调试信息写入日志 audit:记录更为信息的信息 nullok:缺省情况下,要是用户输入的密码为空,则系统可以或许不对其提供不论什么办事。但是要是使用参数,用户不输入密码就可以获得系统提供的办事。同时,也允许用户密码为空时更改用户密码。 ? nodelay:当用户认证掉败,系统在给堕落误信息时会有1个延迟,这个延迟是为了防止。黑客猜测密码,使用该参数时,系统将取消这个延迟。通常这是1个1秒钟的延迟。 try_first_pass:在用作auth板块时,该参数将尝试在提示用户输入密码前,使用前面1个堆叠的auth板块提供的密码认证用户;在作为password板块使用时,该参数是为了防止用户将密码更新成使用以前的老密码。 use_first_pass:在用作auth板块时,该参数将在提示用户输入密码前,直接使用前面1个堆叠的auth板块提供的密码认证用户;在作为password板块使用时,该参数用来防止用户将密码设置成为前面1个堆叠的password板块所提供的密码。 no_set_pass:使密码对先后堆叠的password板块无效。 use_authok:强制使用前面堆叠的password板块提供的密码,好比由pam_cracklib板块提供的新密码。 md5:采用md5对用户密码进行加密。 shadow:采用身影密码。 unix:当用户更改密码时,密码被放置在/etc/passwd中。 bigcrype:采用DEC C2算法加密用户密码。 nis:使用NIS远处历程调用来设置新密码。 remember=x:记录x个使用过的旧密码,这些个旧密码以MD5方式加密后被保存在/etc/security/opasswd文件中。 broken_shadow:在作为account使用时,该参数用来忽略对身影密码的读错误。 likeauth:未知。 设置实例: 参考/etc/pam.d/system-auth 设置密码中的常见错误信息? ⑴当用户输入的密码字符数太少时: BAD PASSWORD: it's WAY too short ⑵当用户输入的密码不异字符太很长时间: BAD PASSWORD: it does not contain enough DIFFERENT characters ⑶当用户输入的密码为某英文单词时: BAD PASSWORD: it is based on a dictionary word ⑷当用户在“(current) UNIX password:”提示后输入的现有密码错误时:passwd: Authentication token manipulation error ⑸当用户两次输入的密码不不异时:Sorry, passwords do not match passwd: Authentication information cannot be recovered ⑹当用户输入的密码未被系统接受时: passwd: Authentication token manipulation error example 1 auth required pam_securetty.so 只用来节制root用户只可以从包罗在/etc/securetty文件中的终端登录系统。 telnet 办事使用PAM的login进行用户身份验证,#more /etc/pam.d/login便能看到此行,要让root不受限制远程login,第一种方法注销此处这一行,另一种在 /etc/securetty文件中加入诸如pts/n(1-n); 同理要是想限制root使用ssh远程步入系统,只需在/etc/pam.d/sshd文件中加入这行;auth required pam_securetty.so即可。 example 2 account required pam_access.so pam_access是pam中处理用户访问节制的板块,没有使用pam前,linux对用户的所有访问节制都是借助hosts.allow, hosts.deny文件,实现所有办事的访问节制,再加上usertty就是对用户登陆节制(专门是针对login)。 一种是直接修改/etc/security/access.conf 另一种是使用参数accessfile=/path/to/file.conf 例如修改access.conf文件: +:root:ALL //root从任意位置连入系统 +:redhat:164.70.12.//redhat只能从这个网段连入 -:ALL:ALL 其余DENY 然后 # vi /etc/pam.d/sshd 加入这一行 account required pam_access.so example 3 限制用户LOGIN回数 在/etc/security/limits.conf : 加入redhat - maxlogins 3 然后 # vi /etc/pam.d/sshd 加入这一行session required
2/3 首页 上一页 1 2 3 下一页 尾页 |
