簡(jiǎn)述PAM模塊認(rèn)證-創(chuàng)新互聯(lián)

簡(jiǎn)述PAM模塊認(rèn)證

成都創(chuàng)新互聯(lián)公司是一家業(yè)務(wù)范圍包括IDC托管業(yè)務(wù),網(wǎng)絡(luò)空間、主機(jī)租用、主機(jī)托管，四川、重慶、廣東電信服務(wù)器租用,南充服務(wù)器托管，成都網(wǎng)通服務(wù)器托管,成都服務(wù)器租用,業(yè)務(wù)范圍遍及中國(guó)大陸、港澳臺(tái)以及歐美等多個(gè)國(guó)家及地區(qū)的互聯(lián)網(wǎng)數(shù)據(jù)服務(wù)公司。

Pam可插拔的認(rèn)證模塊

接口文件在/etc/pam.d/目錄下

調(diào)用的模塊文件 /lib/security目錄下

模塊的配置文件/etc/security/目錄下

日志信息存放在/var/log/secrue

網(wǎng)絡(luò)中的很多用戶需要對(duì)我們的服務(wù)器進(jìn)行遠(yuǎn)程管理、FTP登錄等等，服務(wù)器需要對(duì)用戶進(jìn)行認(rèn)證

通過(guò)PAM調(diào)用與之服務(wù)相對(duì)應(yīng)的接口文件進(jìn)行模塊認(rèn)證。

PAM服務(wù)文件

格式：

Tyep       control     模塊

Type 有這幾類

auth  驗(yàn)證是否有這個(gè)賬號(hào)

account    賬號(hào)是否過(guò)期

password   改變口令的時(shí)候?qū)γ艽a的長(zhǎng)短、是否是字典里的進(jìn)行驗(yàn)證

session     回話控制

control ：

  required   必須通過(guò)，

           如果沒(méi)有通過(guò) ，徹底否定  ，而且還要看后續(xù)模塊

           如果通過(guò) ，且還要看后續(xù)模塊

  requisite   必須通過(guò)，

           如果沒(méi)有通過(guò) ，徹底否定  ，而且不看后續(xù)模塊

           如果通過(guò) ，且還要看后續(xù)模塊

  sufficient  如果沒(méi)有通過(guò) ，不否定  ，而且看后續(xù)模塊

            只要有一個(gè)通過(guò)  通過(guò)

optional

Include    (共同調(diào)用的接口文件，包含很多模塊)

常用的PAM模塊

pam_access.so  控制訪問(wèn)者地址與賬號(hào)名稱

pam_lisffile.so 控制訪問(wèn)者的賬號(hào)名稱或登錄位置

pam_limits.so 控制位用戶分配的資源

pam_rootok.so 對(duì)管理員無(wú)條件允許通過(guò)

pam_userdb.so 設(shè)定獨(dú)立用戶賬號(hào)數(shù)據(jù)庫(kù)認(rèn)證

等等

下面通過(guò)幾個(gè)小例子說(shuō)明一下

1、不允許普通用戶登錄服務(wù)器

打開(kāi)sshd的接口文件 /etc/pam.d/login 如下，調(diào)用了pam_nologin.so模塊，且是必須驗(yàn)證的

查看關(guān)于pam_nologin.so模塊的說(shuō)明文檔知道，在/etc/目錄下新建一個(gè)nologin文件就可以了

touch /etc/nologin

用user1在通過(guò)ssh登錄一下試試，登不進(jìn)去了，如下：

（由于login文件里也調(diào)用了該模塊，所以在本機(jī)上所有用戶也登陸不了了）

2、限制用戶user1只能從192.168.101.3上SSH登錄 模塊為pam_access.so

vim /etc/pam.d/sshd   --編輯ssh的接口文件sshd如下

和pam_access.so模塊有個(gè)像對(duì)應(yīng)的配置文件access.conf

vim /etc/security/access.conf 添加如下一行

 + : user1 : 192.168.101.3

- : user1 : all     表示不允許從其它地方ip登錄

其中”+“表示授權(quán)   ”user1“ 授權(quán)的用戶    ”192.168.101.3“ 表示來(lái)源

從192.168.101.3的登錄，授權(quán)成功

日志如下：

 pam_access(sshd:session): access denied for user `user1' from `192.168.101.103'

從其它的ip登錄，拒絕

 PAM: pam_open_session(): Permission denied

如果是只有user1能從192.168.101.180登錄

將”- : user1 : all  “改為“- : all : all  ”

3、限制user1賬號(hào)本地終端的登錄次數(shù)為2次 模塊pam_limits.so

vim /etc/security/limits.conf   添加如下一句

user1            -       maxlogins       2

”-“ 表示hard和soft都一樣 （關(guān)于語(yǔ)法格式，配置文件里有說(shuō)明）

vim /etc/pam.d/login  --編輯login接口文件添加如下：

session    required     pam_limits.so

用user1登錄三次，第三次被拒絕如下：

4、在我的用戶中凡是在test組中的用戶都能ssh，不是改組的用戶不能SSH 模塊pam_listfile.so (基于額外的文件)

vim /etc/pam.d/sshd 添加如下：

session    required  pam_listfile.so  item=group  sense=allow  file=/etc/grouptest onerr=succeed

--額外文件為/etc/grouptest   如果沒(méi)有這個(gè)文件，無(wú)限制

新建改文件，并添加test組

echo "test" > /etc/grouptest

User1在test組能登錄，user2不在，不能登錄

5、只允許root從安全的終端登錄即不允許從tty1登錄  模塊pam_securetty.so

vim /etc/securetty

刪除 tty1

默認(rèn)Login接口文件已經(jīng)調(diào)用了該模塊

當(dāng)root從終端1登錄時(shí)，如下

6、在本地不允許使用bash shell登錄 模塊 pam_shells.so

默認(rèn)是在/etc/shells里列出的都能

[root@localhost pam.d]# vim /etc/shells

/bin/sh

/bin/bash

/sbin/nologin

/bin/tcsh

/bin/csh

/bin/ksh

將上述的/bin/bash 刪掉

 vim /etc/pam.d/login  編輯登錄文件來(lái)調(diào)用該模塊 如下

session    required     pam_shells.so

這個(gè)驗(yàn)證時(shí)好像有些小問(wèn)題！?。。?！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

新聞標(biāo)題：簡(jiǎn)述PAM模塊認(rèn)證-創(chuàng)新互聯(lián)
文章分享：http://bm7419.com/article24/gieje.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁(yè)設(shè)計(jì)公司、搜索引擎優(yōu)化、App開(kāi)發(fā)、網(wǎng)站制作、網(wǎng)站收錄、外貿(mào)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)