Linux-PAM系统管理指南

By 书生, 出处：Morgan, Andrew G.

1.简介

Linux-PAM(Pluggable Authentication Modules for Linux.基于Linux的插入式验证模块)是一组共享库，使用这些模块，系统管理者能够自由选择应用程序使用的验证机制。也就是说，勿需从新编译应用 程序就能够切换应用程序使用的验证机制。甚至，没必要触动应用程序就能够彻底升级系统使用的验证机制。

在历史上，须要对用户进行验证的应用程序，必须同某种验证机制编译到一块儿。例如，传统的UN*X系统是使用密码对用户进行校验的。用户输入的密码通过crypt加密后，而后和/etc /passwd文件中的密文进行比较。在这种系统中，若是优先权的识别不是基于这种方式，就须要经过用户识别符和用户组识别符对优先权进行验证。服务和应 用程序可使用基于用户和用户组识别的验证方式。一般，用户组的分配是经过/etc/group文件。

不幸的是，随着计算机速度的加快和网络的大范围普及，使用这种验证方式愈来愈不安全了。所以，人们开发了许多新的验证方法。

在广大开发人员的努力下，各版本的 UNIX 系统陆续提供对 PAM 的支持。其中，Linux-PAM 是专门为 Linux 机器实现的，包括 Caldera 1.三、2.二、Debian 2.二、Turbo Linux 3.六、Red Hat 5.0 以及 SuSE 6.2 及它们的后续版本都提供对 PAM 的支持。FreeBSD 从 3.1 版开始支持 PAM。须要注意的是，除了具体实现不一样外，各类版本 Unix 系统上的 PAM 的框架是相同的，因此咱们在这里介绍的 Linux-PAM 框架知识具备广泛性。所以在下文介绍其框架的过程当中能够看到，咱们并无刻意区分 PAM 与 Linux－PAM 这两个术语

Linux- PAM工程的目的就是分离应用软件和验证机制的开发。经过验证函数库能够实现上述目的。PAM库由本地的系统配置文件 /etc/pam.conf或者/etc/pam.d/目录下的一些配置文件来设置。而模块以动态可加载目标文件(使用dloptn(3)函数打开)的形 式保存在/usr/lib/security目录中。

2.关于本文的一些说明

在开始阅读本文时，你应该清楚本文假定特定的文件是在特定的目录中。咱们遵守RFC-86的约定。有些Linux发布把这些文件放在不一样的位置，所以若是你的系统是象RedHat之类的发布，那么你应该谨慎使用本文提供的例子。

例如，本文假设PAM可加载目标文件(模块)是在/usr/lib/security/目录下，而在RedHat Linux系统中它们被放在了/lib/security目录下。所以，使用本文的例子时应该注意进行必要的转换。

3.综述

咱们从一个例子开始讨论。首先找一个可以为用户提供服务的应用程序，login就是一个这样的程序。login要作两件事，首先查询用户，而后为用户提供所需服务，例如提供一个shell程序。

一般，login会提示用户输入密码。而后对密码进行校验，这项任务就是Linux-PAM完成的。

从程序员的角度看，Linux-PAM的任务就是校验用户的合法性。

Linux-PAM具备很大的灵活性，系统管理者能够经过它自由选择使用的验证方式。Linux-PAM可以提供的验证方式多种多样，从绝对信任(pam_permit)到视网膜扫描、音频分析以及一次性口令，不一而足。

为了描述Linux-PAM的灵活性，咱们能够假想一种状况：一个系统管理者(父母)但愿提升用户(他们的子女)的数学能力。他/她就能够经过一个孩子们很是喜欢的游戏“Shoot 'em up game”达成上述目的，固然前提是这个游戏可以使用PAM提供的验证机制。验证能够设置：每次孩子们要玩游戏时，都须要回答出一组小于12的随机数的乘积。这样孩子们每次玩游戏以前还能够练习乘法运算。随着他们的成长，能够增长数字的大小。

Linux-PAM处理四种类型的任务：验证管理(auth)、账户管理(account)、会话管理(session)和口令管理(password)。应用程序使用的管理方式经过相关的Linux-PAM配置文件设置。管理功能是有配置文件指定的模块完成的。

应用程序X，它经过一些接口调用Linux-PAM库，而本身并不知道使用的验证方法。Linux-PAM库读出PAM配置文件的内容，根据配置文件加载程 序X须要的模块。这些模块进入某个管理组而且按照配置文件设置的顺序层叠在一块儿。它们为应用程序执行各类验证任务。应用程序和用户之间经过 conversation函数实现信息交换。

3.1 入门

下面是Seth Chaiklin说的一段话：

从这一点来看，PAM应该工做在理想世界中，在这里全部的应用程序都没有错误。然而，事实远非如此。所以，若是你要使用PAM，须要考虑一些实际的问题。

若是你把Linux用做一个单用户系统，或者系统中的用户是相互信任的，那使用PAM没有多大意思。

你能够在没有重要东西的系统上取消PAM，这实际上能够带来一些方便。使系统象Win95。

在网络环境下，就须要考虑用户验证的问题了。

若是你使用Linux做为一个服务器，用它来提供一些不一样的服务，这时PAM就体现了它的价值。通常状况下，经过使用不一样的模块，程序能够搜索各类密码数据库，而程序自己勿需改写。下面是一些例子：

apache有一个模块可以提供PAM服务。所以，对于特定目录的验证能够经过PAM完成，这意味着大量现有的PAM模块能够用来进行验证工做，包括RADIUS、NIS、NCP。

pppd有一个使用PAM验证的版本(来自RedHat)。

我能够把PAM用于任何须要验证的程序吗？

能够说能也能够说不能。能，是指若是你可以修改源代码，就能够加入PAM验证功能；不能是指若是你没法修改源代码，那么在二进制可执行文件汇中是没法加入PAM验证功能的。

我怎样才能区分程序是否使用了PAM验证？

使用ldd命令，若是这个程序的使用的动态链接库没有libpam和libpam_misc，那它确定不使用PAM验证。然而，还有可能已经包含这两个库了，可是由于某些问题，程序没法正常工做。所以须要更好的方法来测试。

对于须要使用PAM的程序，须要在/etc/pam.d目录中为其设置配置文件。配置文件的名字被编写进程序源代码中，一般和程序的名字是同样的，但不老是 这样。例如：有个程序叫做pamprog，它的PAM配置文件是/etc/pam.d/pamprog。在配置文件中，只有下面两行：

auth required pam_permit.so

auth required pam_warn.so

如今对其进行测试。第一行，表示全部的用户都容许经过；第二行表示想syslog中写入一条警告信息。若是测试成功，就表示程序可以使用PAM进行验证。而后你能够在配置文件中加入更为复杂的验证功能。

4.Linux-PAM配置文件

Linux-PAM的目标就是为系统管理者提供最大限度的灵活性。系统管理者能够经过两种形式对Linux-PAM进行配置：单一配置文件/etc/pam.conf；或者是/etc/pam.d/目录。这一节咱们将讨论其配置文件的语法。

4.1 配置文件的语法

读者首先应该明白Linux-PAM的记号是大小写敏感的。有两个特殊的符号：#和。配置文件中的注释以#开头，通常配置文件中每行是一个入口(除了注释)，可是若是某个入口的定义很长，能够经过使用转义符回行，而下一行也被看做是这个入口的一部分。

下面是一个示例配置文件：

通常/etc/pam.conf文件每行都是这种格式：

service-name module-type control-flag module-path arguments

下面咱们将对每一个记号进行解释。除了这种方式以外，还可使用/etc/pam.d/目录对Linux-PAM进行配置，稍后咱们将对这种方式进行讲述。

• service-name

为这个入口分配的服务名。一般这是给定应用程序的会话名。例如：ftpd、rlogind、su等等。

Linux-PAM还为默认的验证机制保留一个特殊的服务名，就是OTHER，大小写都可。注意，若是某个模块指定了以命名的服务，那OTHER就被忽略。

• modle-type

Linux-PAM当前有四种类型的模块， auth表示鉴别类模块；account表示账户类模块；session表示会话类模块；password表示口令类模块。注意，每行只能指定一种类型模块，若是程序须要多种模块的话，可在多行中分别规定。

auth

这种类型的模块为用户验证提供两方面的服务。

让应用程序提示用户输入密码或者其它的标记，确认用户的合法性；

经过它的凭证许可权限，设定组成员关系(不一样于上面讨论的/etc/groups文件)或者其它优先权。

account

这类模块执行基于非验证的账户管理。它主要用来限制/容许用户对某个服务的访问时间，当前有效的系统资源(最多能够有多少个用户)，限制用户的位置(例如：root用户只能从控制台登陆)。

session

这类模块的主要用途是处理为用户提供服务以前/后须要作的一些事情，包括：记录打开/关闭交换数据的信息，监视目录等。

password

用来升级用户验证标记。

• control-flag

规定如何处理模块的成功和失败状况。 单个应用程序能够调用多种底层模块，这一般称为"堆叠"，对应于某程序的按照配置文件中出现顺序执行的全部模块成为"堆"，堆中的各模块的地位与出错时的处理由control_flag栏的取值决定。层叠模块的执行顺序取决于/etc /pam.conf文件的入口顺序，入口列前的模块先执行。从Linux-PAM 6.0开始可使用两种语法定义控制标志。

简单的一种是使用单一关键词定义控制标志。有四个可用的值：required、requisite、sufficient和optional。

Linux-PAM经过以下方式解释这些关键词：

required

只有当对应于应用程序的全部带 required标记的模块所有成功后，该程序才能经过鉴别。同时，若是任何带required标记的模块出现了错误，PAM并不马上将错误消息返回给应用程序，而是在全部模块都调用完毕后才将错误消息返回调用它的程序。这样作是为了避免让用户知道被哪一个模块拒绝。若是对用户验证成功，全部的模块都会返回成功信息。

requisite

它与required相仿，只有带此标记的模块返回成功后，用户才能经过鉴别，不一样之处在于其一旦失败就再也不执行堆中后面的其它模块，而且鉴别过程到此结束。

sufficient

表示若是一个用户经过这个模块的验证，PAM结构就马上返回验证成功信息，把控制权交会应用程序。后面的层叠模块即便使用requisite或者required控制标志，也再也不执行。若是验证失败sufficient的做用和optional相同。

optional

表示即便本行指定的模块验证失败，也容许用户享受应用程序提供的服务。在PAM体系中，带有该标记的模块失败后将继续处理下一模块。

sufficient

表示该模块取得成功是用户经过鉴别的充分条件,也就是说只要标记为sufficient的模块一旦成功，那么PAM便当即向应用程序返回成功而没必要尝试任何其余模块。当标记为sufficient的模块失败时，sufficient模块当作 optional对待。

• module-path

PAM验证模块的路径。若是以/开头，就表示是完整的路径；若是不是以/打头，就表示是相对于/usr/lib/security的相对路径。

• args

传递给模块的参数。相似于一般的Linux Shell命令行参数。有效的参数包括一些通用参数和特定于给定模块的参数。无效的参数将被忽略，并会把错误信息记录到syslog。

注意：配置文件中的任何一行错误都会致使验证失败，同时相关错误信息被记录到syslog。

4.2 基于目录的配置形式

从Linux-PAM 5.6版开始引入了一种基于目录的配置方式，经过/etc/pam.d/目录下的文件对PAM进行配置。这种方式比单一的配置文件具备更大的灵活性。这个目录下的全部配置文件都以某个服务名命名(小写)。

不过，这两种配置方式不能同时起做用，也就是说，你只能使用其中一种对Linux-PAM进行配置。通常/etc/pam.d/优先。

/etc/pam.d/目录下的配置文件的语法和/etc/pam.conf文件的语法类似，形式以下：

module-type control-flag module-path arguments

和/etc/pam.conf文件语法的惟一不一样就是没有服务名(service-name)，服务名由文件名设置。例如：/etc/pam.d/login文件保存对login服务的设置。

这种配置方式与单一配置文件相比，具备很大的优越性：

减小了配置错误的概率。

更易于维护。

能够经过使用不一样配置文件的符号链接决定系统的验证策略。

能够加快对于配置文件的解析。

能够对单个的Linux-PAM配置文件设置不一样的存取权限。

更易于软件包的管理。

4.3 通用参数

下面是一些通用参数，能够被全部的模块解析：

debug

经过syslog系统调用记录调试信息。

nowarn

使模块不要向应用程序输出警告信息。

use_first_pass

使模块不提示用户输入密码，而是使用为前一个验证模块输入的密码。若是无效，则验证失败。这个参数只能用于auth和password类型模块。

try_first_pass

首先使用用户为上一个模块输入的密码进行验证，若是不行，就提示用户输入密码，这个参数只能用于auth类型的模块。

use_mapped_pass

这个参数目前还不能被任何Linux-PAM模块支持，主要由于美国加密算法的出口限制。

expost_account

一般，对于模块来讲泄露用户的某些信息并不是一个安全的策略。有时候用户名、起始目录或者用户使用的shell等信息均可以被攻击者用来攻击一个用户账户。这个参数是一个适用于每一个模块的标准参数，它可使模块尽可能少地泄露用户信息。

4.4 配置文件入口示例

在这一节，咱们将给出一些例子，以便于理解。

4.4.1 默认策略

一个合理的OTHER入口对于增强系统安全很是重要。下面是一个很是偏执的例子。

# 默认; 拒绝访问

#

OTHER auth required /usr/lib/security/pam_deny.so

OTHER account required /usr/lib/security/pam_deny.so

OTHER password required /usr/lib/security/pam_deny.so

OTHER session required /usr/lib/security/pam_deny.so

毫无疑问，这是最安全的OTHER策略了，可是不太合理。例如：若是这个文件的其它部分编写很差，那么很容易把全部的用户挡在门外。

pam_deny模块在运行时不记录任何信息，除非用户在没法执行某个服务程序时可以与系统管理人员联系，不然系统管理者很长时间不会知道系统配置错误。

在上面例子的前面加入如下几行，系统管理者就能够得到有关的警告信息了：

# 若是程序配置错误

#

OTHER auth required /usr/lib/security/pam_warn.so

OTHER password required /usr/lib/security/pam_warn.so

这样有两行是auth模块类型，造成模块层叠。

在一个使用/etc/pam.d/配置的系统中，默认配置文件以下：

# default configuration: /etc/pam.d/other

#

auth required /usr/lib/security/pam_warn.so

auth required /usr/lib/security/pam_deny.so

account required /usr/lib/security/pam_deny.so

password required /usr/lib/security/pam_warn.so

password required /usr/lib/security/pam_deny.so

session required /usr/lib/security/pam_deny.so

对于不熟悉Linux-PAM的系统管理者，下列几行能够做为最基本的系统配置：

# default; standard UNIX access

#

OTHER auth required /usr/lib/security/pam_unix_auth.so

OTHER account required /usr/lib/security/pam_unix_acct.so

OTHER password required /usr/lib/security/pam_unix_passwd.so

OTHER session required /usr/lib/security/pam_unix_session.so

一般这足觉得大多数应用程序提供验证服务了。可是，大多数并不表示所有。若是你须要打开FTP匿名登陆功能，就没法知足要求了。

为了打开匿名FTP，须要使用如下的配置命令代替默认的配置(OTHER)：

# ftpd; add ftp-specifics. These lines enable anonymous ftp over

# standard UNIX access (the listfile entry blocks access to

# users listed in /etc/ftpusers)

#

ftpd auth sufficient /usr/lib/security/pam_ftp.so

ftpd auth required /usr/lib/security/pam_unix_auth.so use_first_pass

ftpd auth required /usr/lib/security/pam_listfile.so

onerr=succeed item=user sense=deny file=/etc/ftpusers

因为须要忽略默认的配置入口，因此第二行是必需要有的。这仍是一个层叠模块的例子。使用sufficient控制标志，表示若是这个模块验证经过，就没必要使用后面的层叠模块进行验证了；use_first_pass表示使用为前面的模块(pam_ftp)输入的密码。

5.Linux-PAM的安全问题

这一章咱们将讨论如何安全使用Linux-PAM。

5.1 若是出现错误

若是发生错误，Linux-PAM可能会改变系统的安全性。这取决于你本身的选择，你能够选择不安全(开放系统)和绝对安全(拒绝任何访问)。一般，Linux-PAM在发生错误时，倾向于后者。任何的配置错误均可能致使系统整个或者部分没法访问。

可以遇到最大的问题可能就是Linux-PAM的配置文件(/etc/pam.d/*或者/etc/pam.conf)被删除了。若是发生这种事情，你的系统就会被锁住。

不过，仍是有办法进行恢复的。最好的方法就是从新启动系统进入单用户模式，而后进行正确地设置。下面是David Wood在邮件中提出的解决步骤：

首先，以单用户模式启动系统，出现LILO boot:时输入： LILO boot:linux single >——此处假设使用的内核标签是linux，能够按TAB键列出可用的内核

这样你不用登陆就能够进入系统了。

若是这个办法不行，你还可使用急救盘启动系统。

假设你的PAM系统只是配置文件被破坏，先按照以下步骤进行处理： cd /etc

mv pam.conf pam.conf.orig

mv pam.d pam.d.orig

mkdir pam.d

cd pam.d

接着，使用编辑程序编辑/etc/pam.d/other文件，它应该包括如下四行：

auth required pam_unix_auth.so

account required pam_unix_acct.so

password required pam_unix_passwd.so

session required pam_unix_session.so

而后，你就能够登陆了。若是仍是不行，那有多是由于输入错误或者更严重的问题。若是是输入错误，会在日志文件中留下记录，可使用tail /var/log/messages查看。

如今，你已经从新登陆到系统了。下面的工做就是从新安装Linux-PAM和其它软件(假设是RedHat系统),使用以下命令从新安装PAM软件包： rpm -Uvh --force pam-*

而后，须要安装(从新安装)libc库、util-linux、wuftp、NetKit等受影响的软件包。若是使用X系统，也须要从新安装。

5.2 不要使用脆弱的other文件

若是系统默认配置文件other的配置比较脆弱，系统极可能受到攻击的威胁。

这是一个示例配置，pam_deny模块将拒绝全部的访问，而pam_warn模块将向auth.notice日志设备发送一条警告信息：

# The PAM configuration file for the `other' service

#

auth required pam_deny.so

auth required pam_warn.so

account required pam_deny.so

account required pam_warn.so

password required pam_deny.so

password required pam_warn.so

session required pam_deny.so

session required pam_warn.so

6.模块使用参考

这一章咱们将一块介绍Linux-PAM模块的用法

6.1 access模块

6.1.1 概要

模块名

pam_access

做者

Alexei Nogin

维护者

做者

提供的管理组功能

account

系统依赖性

须要一个配置文件。默认状况下，使用/etc/security/access.conf做为配置文件，也能够指定别的文件。

网络支持

通 过PAM_TTY变量得到终端名，若是这个变量没有设置，就经过ttyname()函数得到标准输入文件描述符的终端名。还可使用 gethostname(),yp_get_default_domain(), gethostbyname()函数得到主机名、域名等信息，做为每一个配置行的第三项。

6.1.2 综述

提供一种日志监控风格的登陆访问控制机制

6.1.3 account组件

可以识别的参数

accessfile=/path/to/file.conf

描述

这 个模块提供一种日志监控风格的登陆访问控制机制，这种机制是基于登陆名、主机名、域名、internet地址、网络地址或者终端名的。A. Nogin把logdaemon-5.6(做者：Wietse Venema's)中的login_access.c文件作了许多改动，用到了这个模块中。

这个模块的行为可使用以下参数进行修正：

accessfile=/path/to/file.conf 使用别的配置文件代替默认的配置文件/etc/security/access.conf。

示例和建议

例如：在一个NIS服务器或者一个邮件服务器上，有不少用户，可是你不想让这些用户具备登陆(login)能力。这时，建议你使用这个模块。

如 果你的模块放在/lib/security目录，并且使用/etc/pam.d/风格的配置，能够在/etc/pam.d/login、 /etc/pam.d/rlogin、/etc/pam.d/rsh和/etc/pam.d/ftp文件中加入下面一行，来启动这个模块：

account required /lib/security/pam_access.so

注意：除非你的系统能够忽略.rhosts文件的做用，不然这个模块没法发挥做用。其中细节请参考对pam_rhost_auth模块的介绍。

此外，在软件的发布中有一个示例access.conf配置文件。

6.2 chroot模块

6.2.1 概要

模块名

pam_chrooot

做者

Bruce Campbell

维护者

做者

提供的管理组功能

account、session、authentication

网络支持

本地主机

6.2.2 综述

这个模块为普通用户提供一个假的文件系统，例如：在他们看来的/目录其实是/some/where/else。

若是系统中有几类用户，而你对安全问题又十分重视，就可使用这个模块。它能够对用户可以看到的系统信息和可以运行的程序进行限制。

6.2.3 account组件

原著还没有完成

6.2.4 session组件

同上

可以识别的参数

可使用PAM的通用参数和日志级别做为其参数。

示例和建议

提供合理的程序，例如只提供cat、ls、rm、cp和ed等。

不要滥用这个模块，例如：你能够为每一个用户安装一个隔离的环境，可是这样很是浪费磁盘空间。

6.3 密码强度检查模块

6.3.1 概要

模块名

pam_cracklib

做者

Cristian Gafton

维护者

做者

提供的管理组功能

password

系统依赖性

须要libcrack库和字典/usr/lib/cracklib.dict。

6.3.2 综述

这个模块能够插入到实现password管理组功能的层叠模块中，为给定的程序提供密码强度检查。

这个模块以以下方式工做：首先调用cracklib例程检查密码强度，若是密码不易破译，就进行下面的强度检查：

新密码是否旧密码的回文。

新密码是否只是就密码改变了大小写

和 旧密码是否类似。主要由difok参数控制，若是新旧密码之间不一样的字符数目大于或等于这个参数就接受新的密码，这个参数的默认值是10或者新密码的 1/2。为了不对一个很长、很复杂的密码进行查询，还可使用 difignore参数。这个参数能够指定一个值，若是新的密码长度超过这个值，就没必要进行这种检查，默认值是23。

是否新密码过短。由5个参数控制：minlen、dcredit、ucredit、lcredit和ocredit。在此就不一一介绍了。

新密码是不是旧密码的回环

这个密码之前是否用过。过去用过的密码能够在/etc/security/opasswd文件中找到。

对 于标准的UNIX密码加密算法，即便没有参数，这个模块也会工做得很好。可是，对于MD5加密算法，密码能够超过8个字符，使用默认的设置将使用户很难找 到满意的密码。MD5算法的默认设置要求新密码中和旧密码相同的字符不能超过1/2，并且是强制的。例如：旧的密码是"the quick brown fox jumped over the lazy dog"，那这个密码是很难被替换的:)。除此以外，MD5算法的默认设置还容许密码长度小于5个字符。所以，对于MD5系统须要对配置作一些调整，提升 字符数的底限，减少对不一样字符的比例限制。

6.3.3 password组件

可以识别的参数

debug、type=XXX、retry=N、difok=N、minlen=N、dcredit=N、ucredit=N、lcredit=N、ocredit=N、use_authtok

描述

这个模块提示用户输入一个密码，而后根据一个系统字典和一组规则检查它的强度。

默认状况下，它首先提示用户输入一个密码，若是认为强度足够，就提示用户从新输入一遍，以保证密码输入正确。完成这些动做后，就把这个密码产地给subsequent模块，由subsequent模块安装新的验证记号(也就是密码)。

这个模块的动做能够经过一些参数改变：

debug

把模块详细的行为信息写到syslog，但不包括密码信息。

type=xxx

修改提示信息。默认的提示信息是："New UNIX password:"和"Retype UNIX password"。设置这个选项可使xxx代替UNIX。

retry=N

改变输入密码的次数，默认值是1。就是说，若是用户输入的密码强度不够就退出。可使用这个选项设置输入的次数，以避免一切都从头再来。

difok=N

默认值为10。这个参数设置容许的新、旧密码相同字符的个数。不过，若是新密码中1/2的字符和旧密码不一样，则新密码被接受。

minlen=N

密码字符个数下限加一。除了限制新密码字符的个数以外，还有一些参数能够限制每种字符(other、upper、lower和digit)的个数。minlen的默认值是9，这个值对于旧风格的UNIX密码是很是合适的，可是对于MD5系统却并非很安全。

ucredit=N

限制新密码中最多有多少个大写字符。

lcredit=N

限制新密码中最多有多少个小写字符。

ocredit=N

限制新密码中最多有多少个其它的字符。

use_authok

不让模块执行提示用户输入密码的动做，使用前面层叠的password模块提供的密码。

示例和建议

下面咱们举一个例子，看一下这个模块是如何与pam_pwdb的password组件实现层叠的：

# These lines stack two password type modules. In this example the

# user is given 3 opportunities to enter a strong password. The

# "use_authtok" argument ensures that the pam_pwdb module does not

# prompt for a password, but instead uses the one provided by

# pam_cracklib.

#

passwd password required pam_cracklib.so retry=3

passwd password required pam_pwdb.so use_authtok

下面是一个使用MD5加密算法的例子：

#

# These lines allow a md5 systems to support passwords of at least 14

# bytes with extra credit of 2 for digits and 2 for others the new

# password must have at least three bytes that are not present in the

# old password

#

password required pam_cracklib.so

difok=3 minlen=15 dcredit= 2 ocredit=2

password required pam_pwdb.so use_authtok nullok md5

6.4 拒绝模块

6.4.1 概要

模块名

pam_deny

做者

Andrew G. Morgan

维护者

当前Linux-PAM的维护者。

提供的管理组功能

account、authentication、password、session

clean code base

clean

6.4.2 综述

这个模块可以用来拒绝任何访问。它是向应用程序反馈验证失败的信息。这个模块比较适合于other文件。

6.4.3 账户组件

描述

这个组件只是返回一个失败信息。失败的类型是PAM_ACCT_EXPIRED。

示例和建议

应用程序是经过引用Linux-PAM的账户管理函数pam_acct_mgmt()，让用户得到系统的访问权。可是，若是把这个模块和account类型的模块层叠，用户将不能经过应用程序得到系统访问权。

下面的配置行将使任何用户都没法登陆：

# add this line to your other login entries to disable all accounts

#

login account required pam_deny.so

6.4.4 验证组件

描述

这 个组件只是返回失败信息，错误类型取决于应用程序调用的函数。若是应用程序试图调用pam_authenticate()函数验证用户，则失败类型是 PAM_AUTH_ERR；若是应用程序调用pam_setcred()函数，以创建和设置用户的验证凭证，则失败类型是 PAM_CRED_UNAVAIL。

示例和建议

若是想使应用程序拒绝为用户提供服务，能够在配置文件中加入如下配置行：

# add this line to your existing OTHER entries to prevent

# authentication succeeding with default applications.

#

OTHER auth required pam_deny.so

6.4.5 密码组件

描述

这个组件可以拒绝用户修改密码。若是收到修改密码的企图，它将返回PAM_AUTHOK_ERR类型的失败信息。

示例和建议

这个组件用于阻止应用程序改变用户的密码。例如，为了阻止login在旧密码失效时，自动提示用户输入新的密码，你能够在配置文件中加入如下配置行：

# add this line to your other login entries to prevent the login

# application from being able to change the user's password.

#

login password required pam_deny.so

6.4.6 会话组件

描述

deny模块的这个组件可以阻止应用程序在主机上启动会话过程。

示例和建议

这个模块可以阻止用户启动一个shell。若是和pam_motd模块层叠，咱们能够在配置文件中加入如下配置行，告诉用户如今是系统维护时间：

# An example to see how to configure login to refuse the user a

# session (politely)

#

login session required pam_motd.so

file=/etc/system_time

login session required pam_deny.so

6.5 环境变量设置/取消模块

6.5.1 概要

模块名

pam_env

做者

Dave Kinchlea

维护者

做者

提供的管理组类型

authentication(setcred)

系统依赖性

/etc/security/pam_env.conf

6.5.2 综述

使用这个模块能够设置/取消环境变量的定义。

6.5.3 验证组件

可以识别的参数 debug、conffile=configuration-file-name、envfile=/env-file-name、readenv=/0|1 描述 你可使用固定的字符串经过这个模块设置变量或者取消对环境变量的设置。设置的环境变量值和PAM_ITEM是与或者或的关系。 这 些由一个配置文件控制，默认状况下，配置文件是/etc/security/pam_env.conf。不过，能够经过connfile文件指定其它的配 置文件。配置文件的每一个配置行都是以环境变量名开头，接着是两个选项：DEFAULT、OVERRIDE。DEFAULT表示：把这个变量设置为默认值， 若是不存在就把它的值设置为一个空字符串。OVERRIDE表示：使用新的值得覆盖默认值。若是OVERRIDE以后，没有定义变量值，就假定是空字符 串，并且不会执行覆盖动做。 VARIABLE [DEFAULT=[value]] [OVERRIDE=[value]] 环 境变量能够以$(string)的语法使用，而PAM_ITEM能够经过@(string)的语法使用。若是string中含有$、@字符，须要在前面加 上反斜杠做为转义符，例如：$。当须要空格时，可使用引号，可是空格不能环境变量的名字中出现。环境变量的值必须以引号分割。 这个模块也可以以KEY=VAL对的方式解析文件，每一个KEY=VAL对占一行，默认文件是/etc/environment。你可使用envfile选项改变须要解析的文件，使用readenv选项打开/关闭解析的文件。 这个模块的行为能够修改如下参数来设置： debug 向syslog写入更多信息。 confile=filename 默认配置文件是/ec/security/pam_env.conf。这个选项指定的文件能够覆盖默认文件。不过，你必须使用完整的文件路径。 envfile=filename 默认是/etc/environment，使用这个选项指定其它的文件。也须要使用完整的文件路径。 readenv=0|1 打开(1)/关闭(0)从envfile中读取环境变量。默认状况下，这个选项为开(1)。 示例和建议 参考/etc/security/pam_env.conf文件。 6.6 过滤模块 6.6.1 概要 模块名 pam_filter 做者 Andrew G. Morgan 维护者 做者 提供的管理组功能 account、authentication、password、session Clean code base This module compiles cleanly on Linux based systems. 系统依赖性 须要安装pam_filter程序。 6.6.2 综述 这个模块为应用程序提供了一个插入式的过滤器。因为为某个程序从新编写过滤代码实现过滤功能是不太现实的，简直是开玩笑。这个模块可以对输入流中的大小写字符进行替换，而后输出到输出流。 6.6.3 Account+Authentication+Password+Session组件 可以识别的参数 debug、new_term、non_term、runX 描述 这个模块的全部组件均可能会执行所须要的过滤程序。过滤程序是以调用的程序的权限运行的，而不是以用户的权限运行。所以，普通用户只能关闭他们的会话过程才能杀死过滤进程。 pam_filter模块的行为能够由Linux-PAM配置文件传递的参数改变： debug 模块运行时，syslog记录更多的信息。 new_term 做为一种默认的行为，过滤器会设置PAM_TTY选项，指示用户与应用程序进行联系的终端。这个参数表示过滤程序应该把PAM_TTY设置为被过滤的伪终端。 no_term 没必要设置PAM_TTY选项。 runX 为了使这个模块可以执行一个过滤程序，应该让它知道什么时候执行。可使用这个参数实现上述目的。这个参数紧跟过滤程序的路径名以及其命令行参数。 X的值能够是1和2。它表示过滤程序运行的确切时间。对于每种管理组功能，它会牵扯到不一样的函数调用。 在 authentication和session组件中，分别牵扯到两个函数。对于authentication管理组，这两个函数是 _authenticate和_setcred。run1表示从_authenticate函数运行过滤程序；run2表示从_setcred函数运行过 滤程序。对于session管理组，run1表示过滤程序从_open_session函数运行；run2是从_close_session函数运行。 对于account组件，run1和run2是同样的。 对于password管理组组件，run1表示过滤程序在_chauthtok函数首次运行时(PAM_PRELIM_CHECK阶段)执行；而run2表示过滤程序是在_chauthtok第二次运行时(PAM_UPDATE_AUTHOK阶段)执行。 示例和建议 你能够在login的配置文件(/etc/pam.d/login)中加入下面入口，实际尝试一下这个模块的应用： # An example to see how to configure login to transpose upper and # lower case letters once the user has logged in(!) # login session required pam_filter.so run1 /usr/sbin/pam_filter/upperLOWER 6.7 匿名访问模块 6.7.1 概要 模块名 pam_ftp 做者 Andrew G. Morgan 维护者 做者 提供的管理组功能 authentication 网络支持 提示用户输入email地址 6.7.2 综述 这个模块的用途是提供一种插入式的匿名FTP访问模式。 6.7.3 authentication组件 可以识别的参数 debug、users=xxx,yyy,....、ignore 描述 这 个模块解释用户名和密码，若是用户名是ftp或者anonymous，而用户的密码是以@分割的，它就会把@先后两部分分别设置为 PAM_RUSER和PAM_RHOST选项的值。用户名被设置为ftp。模块验证成功。在其它状况下，这个模块就会经过PAM_AUTHTOK选项返回 须要输入密码和验证失败的信息。 这个模块的行为可使用以下参数修改： debug 向syslog输出调试信息 users=xxx,yyy,.... 使用等号以后给出的用户名代替ftp或者anonymous，做为匿名FTP的用户名。 ignore 不理会用户没有email地址。 示例和建议 在第四章中，有一个使用匿名FTP模块的例子。 6.8 组访问模块 6.8.1 概要 模块名 pam_group 做者 Andrew G. Morgan 维护者 做者 提供的管理组功能 suthentication 系统依赖性 须要/etc/security/group.conf文件。能够与libpwdb链接。 网络支持 只能经过正确设置PAM_TTY选项。 6.8.2 综述 这个模块根据用户名和发起服务请求的终端，提供组分类功能。 6.8.3 authentication组件 描述 这个模块不对用户进行验证，而是为用户赋予组成员关系。这种组成员关系是根据用户请求的服务划分的，在/etc/security/group.conf文件中以文本的方式设置。 示例和建议 想要这个模块正常工做，须要准确设置/etc/security/group.conf文件。其格式以下： services; ttys; users; times; groups 前四项和pam_time配置文件:/etc/security/pam_time.conf或者time.conf中的相同。groups是一些以逗号或者空格分开的文本字符串，表示一些组名。若是用户的应用程序知足前四项，则用户就被加入到第五项定义的组中。 这 个模块可否起做用取决于用户对文件系统的访问权限。这一点是指，一旦用户成为一个组的成员，这个用户就可能利用得到的权限试图创建一个 setgid程序。而之后，若是这个用户再也不属于这个组，他就能够经过这个程序非法回到这个组中。因为这个缘由，用户具备写权限的文件系统须要很是严格的 限制，若是文件系统在mount时，被设置为nosuid，那用户就没法创建和执行这样的程序。所以，使用这个模块时，用户具备写权限的全部文件系统都需 要使用nosuid参数mount。 pam_group的做用和/etc/group文件是并行的，若是用户被加入的这个模块定义的任何组中，同时也被加入到/etc/group文件中；反之亦然。 6.9 issue模块 6.9.1 概要 模块名 pam_issue 做者 Ben Collins 维护者 做者 提供的管理组功能 authentication(pam_sm_authenticate) 6.9.2 综述 这个模块可以在提示信息中，加入一个文件的内容。 6.9.3 authentication组件 可以识别的参数 issue=issue-file-name、noesc 描述 你可使用这个模块在用户提示信息中加入一个issue文件的内容。这个模块还能够解析issue文件中的转义词，例如：x。 有效的转义码以下： d: 当前的日期 s: 操做系统名 l: 这个终端名 m: 系统的体系(i68六、spacr、pwerpc、....) n: 系统主机名 o: 系统域名 r: 操做系统版本号 t: 当前时间 u: 当前登陆的用户数 U: 和u相同，只有后缀有所不一样：u的后缀是user；U的后缀是users。 v: 操做系统的版本/创建日期 这个模块的行为能够经过一下参数修改： issue: 指定使用的文件 noesc: 关闭对转义词的解析 示例和建议 login auth pam_issue.so issue=/etc/issue