第十课Linux服务器安全之pam模块

1、IT168IT168之之LinuxLinux加固教程加固教程（第十讲）（第十讲）Linux服务器安全之服务器安全之pam模块模块讲讲 师：杨师：杨 宁宁( (cnbirdcnbird) QQ:441303228) QQ:441303228官方网站官方网站:http:/:http:/E-MAILE-MAIL： 本章知识点 n了解什么是PAMn了解PAM是如何实现认证功能n了解PAM对安全的重要作用一. PAM概念nLinux-PAM(Pluggable Authentication Modules for Linux.基于Linux的插入式验证模块)是一组共享库，使用这些模块，系统管理者可以自由

2、选择应用程序使用的验证机制。也就是说，勿需重新编译应用程序就可以切换应用程序使用的验证机制。甚至，不必触动应用程序就可以完全升级系统使用的验证机制。 PAM的应用目的nLinux-PAM工程的目的就是分离应用软件和验证机制的开发。通过验证函数库可以实现上述目的。PAM库由本地的系统配置文件/etc/pam.conf或者/etc/pam.d/目录下的一些配置文件来设置。而模块以动态可加载目标文件(使用dloptn(3)函数打开)的形式保存在/usr/lib/security目录中。nPAM文档的最详细的本地资料. /usr/share/doc/pam-0.77/txts 详细的模块说明 /usr

3、/share/doc/pam-0.77/html PAM相关的说明二.怎么区分是否使用了PAMn使用ldd命令，如果这个程序的使用的动态连接库没有libpam和libpam_misc，那它肯定不使用PAM验证。然而，还有可能已经包含这两个库了，但是因为某些问题，程序无法正常工作。因此需要更好的方法来测试。 对于需要使用PAM的程序，需要在/etc/pam.d目录中为其设置配置文件。 三三.配置文件的语法配置文件的语法(一)nservice-name module-type control-flag module-path argumentsService-name 为这个入口分配的服务名。通常

4、这是给定应用程序的会话名。例如：ftpd、rlogind、su等等。 配置文件的语法配置文件的语法(二二) modle-type Linux-PAM当前有四种类型的模块auth account session password 配置文件的语法配置文件的语法(三三)ncontrol-flagrequired requisite sufficient optional三.配置介绍n/etc/pam.d/login四.其他常见PAM模块pam_securetty该模块用来控制root用户只可以从包含在/etc/securetty文件中的终端登录系统。pam_shell认证模块 如果用户的shell在/etc/shells中列出，则允许用户进行验证，如果/etc/passwd中没有指定shell，则缺省使用/bin/sh DEMOnPAM加固n