歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> 更多Linux

常見的PAM認證模塊簡介(3)

  19.pam_rhosts_auth認證模塊    所屬類型: auth    功能描述:該模塊為標准的網絡服務(諸如rlogin、rsh)提供認證。    可帶參數:請參考PAM文檔說明    20.pam_rootok認證模塊    所屬類型: auth    功能描述:使用該模塊具有很大的安全風險,該模塊的唯一功能就是讓uid為0的用戶不需輸入密碼就可以登錄系統。    可帶參數:無    21.pam_securetty認證模塊    所屬類型: auth    功能描述:該模塊用來控制root用戶只可以從包含在/etc/securetty文件中的終端登錄系統。    22.pam_shell認證模塊    所屬類型: auth    功能描述:如果用戶的shell在/etc/shells中列出,則允許用戶進行驗證,如果/etc/passwd中沒有指定shell,則缺省使用/bin/sh.    23.pam_time認證模塊    所屬類型: account    功能描述:對用戶訪問服務提供時間控制,也就是說,用來控制用戶可以訪問服務的時間,配置文件為:/etc/security/pam.conf。    可帶參數:無    配置文件說明:  每一行的構成語法如下:  services; ttys; users; times  services:服務名稱  ttys:規則生效的終端名,可以*號表示任何終端,!表示非。  users:規則作用的用戶,可以*號表示任何用戶,!表示非。  times:指定時間,通常使用日期時間格式。用兩個字母指定日期,比如MoTuSa就是指星期一星期二和星期六。注意重復的部分將被排除在外,比如MoTuMo就指星期二,MoWk指除了星期一以外的每一天。兩個字母的組合有:  Mo Tu We Th Fr Sa Su Wk Wd Al  Mo到Su分別指從星期一到星期天,Wk指每一天,Wd指周末,Al也指每一天。  采用24小時制指定時間,也即采用HHMM的形式。比如Mo1800-0300就是每個星期一的下午6點到第二天的凌晨3點。    24.pam_unix認證模塊    所屬類型: account; auth; passWord; session    功能描述:該模塊是標准UNIX認證模塊pam_unix的替代模塊。    在作為auth類型使用時,此時該模塊可識別的參數有debug、audit、use_first_pass、try_first_pass、nullok、nodelay,主要功能是驗證用戶密碼的有效性,在缺省情況下(即不帶任何參數時),該模塊的主要功能是禁止密碼為空的用戶提供服務;    在作為account類型使用時,此時該模塊可識別的參數有debug、audit,該模塊主要執行建立用戶帳號和密碼狀態的任務,然後執行提示用戶修改密碼,用戶采用新密碼後才提供服務之類的任務;    在作為password類型使用時,此時該模塊可識別的參數有debug、 audit、 nullok;、not_set_pass、use_authtok、try_first_pass、use_first_pass、md5、bigcrypt、shadow、nis、  remember,該模塊完成讓用戶更改密碼的任務;    在作為session類型使用時,此時該模塊沒有可識別的參數,該模塊僅僅完成記錄用戶名和服務名到日志文件的工作。    可帶參數:  debug:將調試信息寫入日志  audit:記錄更為信息的信息  nullok:缺省情況下,如果用戶輸入的密碼為空,則系統能夠不對其提供任何服務。但是如果使用參數,用戶不輸入密碼就可以獲得系統提供的服務。同時,也允許用戶密碼為空時更改用戶密碼。  nodelay:當用戶認證失敗,系統在給出錯誤信息時會有一個延遲,這個延遲是為了防止  黑客猜測密碼,使用該參數時,系統將取消這個延遲。通常這是一個1秒鐘的延遲。  try_first_pass:在用作auth模塊時,該參數將嘗試在提示用戶輸入密碼前,使用前面一個堆疊的auth模塊提供的密碼認證用戶;在作為password模塊使用時,該參數是為了防止用戶將密碼更新成使用以前的老密碼。  use_first_pass:在用作auth模塊時,該參數將在提示用戶輸入密碼前,直接使用前面一個堆疊的auth模塊提供的密碼認證用戶;在作為password模塊使用時,該參數用來防止用戶將密碼設置成為前面一個堆疊的password模塊所提供的密碼。  no_set_pass:使密碼對前後堆疊的password模塊無效。  use_authok:強制使用前面堆疊的password模塊提供的密碼,比如由pam_cracklib模塊提供的新密碼。  md5:采用md5對用戶密碼進行加密。  shadow:采用影子密碼。  unix:當用戶更改密碼時,密碼被放置在/etc/passwd中。  bigcrype:采用DEC C2算法加密用戶密碼。  nis:使用NIS遠處過程調用來設置新密碼。  remember=x:記錄x個使用過的舊密碼,這些舊密碼以MD5方式加密後被保存在/etc/security/opasswd文件中。  broken_shadow:在作為account使用時,該參數用來忽略對影子密碼的讀錯誤。  likeauth:未知。    配置實例:  參考/etc/pam.d/system-auth    25.pam_userdb認證模塊    所屬類型: auth    功能描述:使用該模塊允許您通過一個Berkeley數據庫來驗證用戶,假如您使用這種數據庫來保存用戶信息的話。    可帶參數:  debug:將調試信息寫入日志  icase:忽略密碼大小寫  dump:將數據庫中的所有條目記錄在日志文件中,有安全隱患。  db=filename:指定數據庫文件的完整路徑。  use_authok:強制使用前面堆疊的auth模塊提供的密碼。  unknown_ok:當數據庫中沒有用戶信息時,不返回錯誤。    配置實例:  #%PAM-1.0  auth required pam_listfile.so item=user sense=deny file=/etc/FTPusers onerr=sUCceed  auth sufficient pam_userdb.so icase db=/tmp/dBTest  auth required pam_pwdb.so shadow nullok try_first_pass  auth required pam_shells.so  account required pam_pwdb.so  session required pam_pwdb.so    26.pam_warn認證模塊    所屬類型: auth,password    功能描述:記錄服務、終端名、用戶名、遠程主機等信息到日志文件。    27.pam_stack認證模塊    所屬類型: auth,account, password,session    功能描述:該模塊可以用來實現pam認證的遞歸調用。    可帶參數:  debug:將調試信息寫入日志  service=name:指定調用的配置文件。    配置實例:  參考/etc/pam.d/login




Copyright © Linux教程網 All Rights Reserved