Linux运维篇-PAM安全模块配置

id="article_content" class="article_content clearfix"> id="content_views" class="markdown_views prism-atom-one-light">

在这里插入图片描述

PAM是什么?

PAM(可插入认证模块)是UNIX操作系统上一个实现模块化的身份验证的服务。当程序需要对用户进行身份验证时加载并执行。PAM文件通常位于/etc/pam.d目录中。
而Linux-PAM,是linux可插拔认证模块,是一套可定制、可动态加载的共享库,使本地系统管理员可以随意选择程序的认证方式。

需要注意的是,/etc/pam.d目录中的文件默认只有root管理员用户有权限修改,也可针对root本身做一些配置,调整前需要了解每一个配置项的含义,防止出现乌龙配置,一旦配置失误错禁了root身份验证,导致系统无法登录,只能到单用户或救援模式紧急恢复。

常见的配置文件

在redhat中,pam.d目录下有以下内容:
在这里插入图片描述
重要文件介绍:

class="table-box">
文件名描述
login本地登陆的认证方式
sshd通过ssh服务远程登陆的认证方式
sudo使用sudo提权时的认证方式
common-auth通用身份认证模块
common-password通用密码规则模块
common-account通用账户管理模块,主要定义了账户权限的相关规则-
common-session通用会话管理模块

pam认证的构成

每一行大致可以区分为三个字段:

 认证类型    控制类型    PAM模块及其参数
 class="hljs-button signin active" data-title="登录复制" data-report-click="{"spm":"1001.2101.3001.4334"}">
  • 1

第一列代表PAM认证模块类型

auth:认证、授权(检查用户的名字、密码是否正确

account:检查用户的帐户是否到期、禁用等

session:控制会话

password:控制用户修改密码过程
 class="hljs-button signin active" data-title="登录复制" data-report-click="{"spm":"1001.2101.3001.4334"}">
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

第二列代表PAM控制标记

required:必须通过此认证,否则不再往下认证下去,直接退出

requisite:必须通过认证,但以后还有机会,可以往下认证

sufficient:一经通过,后面的不再认证(只要通过这个条件则直接通过)

optional:可选项,通不通过均可
 class="hljs-button signin active" data-title="登录复制" data-report-click="{"spm":"1001.2101.3001.4334"}">

第三列代表PAM模块和PAM模块的参数,默认是在/lib64/security/目录下,如果不在此默认路径下,要填写绝对路径
常用pam模块:

class="table-box">
名称描述
pam_access.so控制访问者的地址与帐号的名称
pam_listfile.so控制访问者的帐号名称或登陆位置
pam_limits.so控制为用户分配的资源
pam_rootok.so对管理员(uid=0)无条件通过
pam_userdb.so设定独立用户帐号数据库认证

常见配置修改

root用户登录设置

修改文件 /etc/pam.d/system-auth
在 pam_env.so下一行添加

pam_tally2.so onerr=fail deny=3 unlock_time=100 even_deny_root root_unlock_time=100
 class="hljs-button signin active" data-title="登录复制" data-report-click="{"spm":"1001.2101.3001.4334"}">

ssh远程登录限制

修改文件 /etc/pam.d/sshd
在 pam_sepermit.so下一行添加

pam_tally2.so onerr=fail deny=3 unlock_time=100 even_deny_root root_unlock_time=100
 class="hljs-button signin active" data-title="登录复制" data-report-click="{"spm":"1001.2101.3001.4334"}">

pam_tally2 –u 账号 查看失败登录

pam_tally2 --user <用户名> --reset 重置失败登录(需要管理员账户执行)

>> id="blogExtensionBox" style="width:400px;margin:auto;margin-top:12px" class="blog-extension-box"> class="blog_extension blog_extension_type1" id="blog_extension"> class="blog_extension_card" data-report-click="{"spm":"1001.2101.3001.6470"}"> class="blog_extension_card_cont"> class="blog_extension_card_cont_l"> 秣宇的运维 class="blog_extension_card_cont_r"> 微信公众号 日常学习分享
注:本文转载自blog.csdn.net的秣宇的文章"https://blog.csdn.net/qq_52494169/article/details/145198325"。版权归原作者所有,此博客不拥有其著作权,亦不承担相应法律责任。如有侵权,请联系我们删除。
复制链接
复制链接
相关推荐
发表评论

评论记录:

未查询到任何数据!