Linux中pam模块

---

前言

PAM使用配置/etc/pam.d/下的文件,来管理对程序的认证方式.应用程序 调用相应的配置文件,从而调用本地的认证模块.模块放置在/lib/security下,以加载动态库的形式进，像我们使用su命令时,系统会提示你输入root用户的密码.这就是su命令通过调用PAM模块实现的。

---

一、密码设置及登陆控制

密码设置及登陆控制文件位置：/etc/pam.d/system-auth
示例文件内容如下：

auth      required  pam_securetty.so
auth      required  pam_unix.so shadow nullok
auth      required  pam_nologin.so

account   required  pam_unix.so

password  required  pam_cracklib.so retry=3
password  required  pam_unix.so shadow nullok use_authtok

session   required  pam_unix.so

auth 组件：认证接口，要求并验证密码
account组件：检测是否允许访问。检测账户是否过期或则在末端时间内能否登陆。
password组件：设置并验证密码
session组件：配置和管理用户sesison。

二、 pam_tally2.so

限制用户输错密码次数和账号锁定时间

auth        required      pam_tally2.so deny=3 even_deny_root unlock_time=120

/etc/pam.d/login中配置只在本地文本终端上做限制

/etc/pam.d/kde在配置时在kde图形界面调用时限制

/etc/pam.d/sshd中配置时在通过ssh连接时做限制

/etc/pam.d/system-auth中配置凡是调用 system-auth 文件的服务，都会生效

三、 pam_wheel.so

只有在wheel组的成员才可以su到root

auth		required	pam_wheel.so group=wheel use_uid