linuxpam命令 linux pluma命令

PAM 教程：二、Linux-PAM 的配置文件

本系列讲解了 Linux-PAM 的工作机制和配置方式，并利用几个 Linux-PAM 模块做一些有趣的小实验。附录中介绍了一些常用的 Linux-PAM 模块。

曲水ssl适用于网站、小程序/APP、API接口等需要进行数据传输应用场景，ssl证书未来市场广阔！成为创新互联建站的ssl证书销售渠道，可以享受市场价格4-6折优惠！如果有意向欢迎电话联系或者加微信：18982081108（备注：SSL证书合作）期待与您的合作！

本文的目标读者是期望了解 PAM 认证机制的 Linux 用户或者系统管理员。如果您是开发人员，希望编写一个使用 PAM 认证的应用程序，或者是为 PAM 写插件的开发人员，本文的内容可能并不能满足您的需求，请参阅 《Linux-PAM应用开发指南》 （英文）和 《Linux-PAM 模块开发指南》 （英文）。

PAM 的各个模块一般存放在 /lib/security/ 或 /lib64/security/ 中，以动态库文件的形式存在（可参阅 dlopen(3) ），文件名格式一般为 pam_*.so 。PAM 的配置文件可以是 /etc/pam.conf 这一个文件，也可以是 /etc/pam.d/ 文件夹内的多个文件。如果 /etc/pam.d/ 这个文件夹存在，Linux-PAM 将自动忽略 /etc/pam.conf 。

/etc/pam.conf 类型的格式如下：

/etc/pam.d/ 类型的配置文件通常以每一个使用 PAM 的程序的名称来命令。比如 /etc/pam.d/su ， /etc/pam.d/login 等等。还有些配置文件比较通用，经常被别的配置文件引用，也放在这个文件夹下，比如 /etc/pam.d/system-auth 。这些文件的格式都保持一致：

不难看出，文件夹形式的配置文件中只是没有了服务名称这一列：服务名称已经是文件名了。

由于很难在时下的发行版本中找到使用 /etc/pam.conf 这一独立文件作为 PAM 配置的例子，此处仅就 /etc/pam.d/ 格式举例。在笔者安装的 CentOS(x64) 7.2.1511 中， /etc/pam.d/login 的内容如下：

# 表示注释。

每一行代表一条规则。但也可以用 \\ 来放在行末，来连接该行和下一行。

例子的最后一行开头有一个短横线 - ，意思是如果找不到这个模块，导致无法被加载时，这一事件不会被记录在日志中。这个功能适用于那些认证时非必需的、安装时可能没被安装进系统的模块。

我们在[第一篇]({% post_url 2016-03-30-pam-tutorial-1-intro %})中接触了 Linux-PAM 的四种工作类别（type）。在上面的例子中，工作类别作为第一列出现。

讲到这里，我们有必要聊一聊 PAM 的 流程栈（stack） 概念：它是认证时执行步骤和规则的堆叠。在某个服务的配置文件中，它体现在了配置文件中的自上而下的执行顺序中。栈是可以被引用的，即在一个栈（或者流程）中嵌入另一个栈。我们之后和它会有更多的接触。

第二列为 控制模式（control） ，用于定义各个认证模块在给出各种结果时 PAM 的行为，或者调用在别的配置文件中定义的认证流程栈。该列有两种形式，一种是比较常见的“关键字”模式，另一种则是用方括号（ [] ）包含的“返回值=行为”模式。

“关键字”模式下，有以下几种控制模式：

“返回值=行为”模式则更为复杂，其格式如下：

其中， valueN 的值是各个认证模块执行之后的返回值。有 success 、 user_unknown 、 new_authtok_reqd 、 default 等等数十种。其中， default 代表其他所有没有明确说明的返回值。返回值结果清单可以在 /usr/include/security/_pam_types.h 中找到，也可以查询 pam(3) 获取详细描述。

流程栈中很可能有多个验证规则，每条验证的返回值可能不尽相同，那么到底哪一个验证规则能作为最终的结果呢？这就需要 actionN 的值来决定了。 actionN 的值有以下几种：

我们在前文中已经介绍了控制模式（contro）的“关键字”模式。实际上，“关键字”模式可以等效地用“返回值=行为”模式来表示。具体的对应如下：

正如前文所述，模块一般保存在 /lib/security 或 /lib64/security 中（取决于操作系统位数）。Linux-PAM 配置文件中的模块位置可以是相对于上述文件夹的相对路径，也可以是文件的全路径。

模块参数用空格与模块路径相隔。该参数将只和特定模块相关，因此某个模块的文档中一定包含其参数的信息。如果需要在单个参数中使用空格，可以将整个参数用方括号（ [] ）包裹起来。

Linux里面pam是什么？

Linux-PAM(linux可插入认证模块)是一套共享库，使本地系统管理员可以随意选择程序的认证方式。Linux-PAM有四种模块类型,分别代表四种不同的任务，它们是:认证管理(auth),账号管理(account),会话管理(session)和密码(password)管理。

利用linux pam实现安全验证与管理

大家都知道现在很多电脑软件都有限制用户登陆失败次数的限制,Linux也是如此,当你登录失败多次后就可以限制用户登录,从而起到保护电脑安全的作用,通过PAM模块即可实现,下面随我一起来了解下吧。 Linux有一个pam_tally2.so的PAM模块,来限定用户的登录失败次数,如果次数达到设置的阈值,则锁定用户。 编译PAM的配置文件# vim /etc/pam.d/login #%PAM-1.0 auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10 auth ［user_unknown=ignore success=ok ignoreignore=ignore default=bad］ pam_securetty.so auth include system-auth account required pam_nologin.so account include system-auth password include system-auth # pam_selinux.so close should be the first session rule session required pam_selinux.so close session optional pam_keyinit.so force revoke session required pam_loginuid.so session include system-auth session optional pam_console.so # pam_selinux.so open should only be followed by sessions to be executed in the user context session required pam_selinux.so open 各参数解释 even_deny_root 也限制root用户； deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户 unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒； root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒； 此处使用的是 pam_tally2 模块,如果不支持 pam_tally2 可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则。 在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的！ 最终效果如下图这个只是限制了用户从tty登录,而没有限制远程登录,如果想限制远程登录,需要改SSHD文件# vim /etc/pam.d/sshd #%PAM-1.0 auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10 auth include system-auth account required pam_nologin.so account include system-auth password include system-auth session optional pam_keyinit.so force revoke session include system-auth session required pam_loginuid.so 同样是增加在第2行！ 查看用户登录失败的次数 ［root@node100 pam.d］# pam_tally2 --user RedHat Login Failures Latest failure From redhat 7 07/16/12 15:18:22 tty1 解锁指定用户 ［root@node100 pam.d］# pam_tally2 -r -u redhat Login Failures Latest failure From redhat 7 07/16/12 15:18:22 tty1 这个远程ssh的时候,没有提示,我用的是Xshell,不知道其它终端有没提示,只要超过设定的值,输入正确的密码也是登陆不了的！ 上面就是Linux通过PAM模块限制用户登录次数的方法,最好设置下,以免别人用工具破解你的电脑,窃取你的隐私信息。

linux中的PAM到底是什么 如何使用配置呢 麻烦说的通俗点

简单地说，PAM主要是由一组共享库文件（也就是后缀名为.so文件）和一些配置文件组成的用于系统服务授权的一套东西，其中，PAM 就是 Pluggable Authentication Modules 这几个英文单词的缩写。当你在请求服务的时候，具有PAM认证功能的应用程序将与这些.so文件进行交互，以便得知是否可以授权给发起请求的用户来使用服务，比如su, vsftp, httpd,等。如果认证成功了，那么这个用户便可以使用服务或完成命令，如果认证失败了，那么这个用户将不能使用服务，同时，PAM将向指定的log文件写入警告信息。我们可以将PAM看作是一个中间裁判，它不依赖于任何应用或服务。你完全可以升级这些应用或服务而不必管PAM的共享库的更新或升级，反之亦然。所以它非常的灵活。

Linux 密码复杂度设置pam_pwquality、pam_passwdqc(centos7)

1、Linux对应的密码策略模块有：pam_passwdqc 和 pam_pwquality 。其中pam_passwdqc模块对应的是/etc/login.defs，pam_pwquality对应的是/etc/security/pwquality.conf

2、模块的添加方法：/etc/pam.d/passwd

password required pam_pwquality.so retry=3

3、模块的配置方法有两种：

一、password required pam_pwquality.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0

二、添加到/etc/security/pwquality.conf 中

4、/etc/security/pwquality.conf详解：

retry=N：定义登录/修改密码失败时，可以重试的次数；

Difok=N：定义新密码中必须有几个字符要与旧密码不同。但是如果新密码中有1/2以上的字符与旧密码不同时，该新密码将被接受；

minlen=N：定义用户密码的最小长度；

dcredit=N：定义用户密码中必须包含多少个数字；

ucredit=N：定义用户密码中必须包含多少个大写字母；

lcredit=N：定义用户密码中必须包含多少个小些字母；

ocredit=N：定义用户密码中必须包含多少个特殊字符（除数字、字母之外）；

其中 =-1表示，至少有一个

5、/etc/login.defs详解：

PASS_MAX_DAYS 99999 #密码的最大有效期, 99999:永久有期

PASS_MIN_DAYS 0 #是否可修改密码,0可修改,非0多少天后可修改

PASS_MIN_LEN 5 #密码最小长度,使用pam_cracklib module,该参数不再有效

PASS_WARN_AGE 7 #密码失效前多少天在用户登录时通知用户修改密码

6、实际生产环境配置

/etc/security/pwquality.conf ：

minlen = 8

minclass = 1

maxrepeat = 0

maxclassrepeat = 4

lcredit = -1

ucredit = -1

dcredit = -1

ocredit = -1

difok=5

/etc/login.defs：

PASS_MAX_DAYS 90

PASS_MIN_LEN 12

PASS_MIN_DAYS 7

PASS_WARN_AGE 30

UMASK 077