PAM:可插入认证模块
1.顺序
Service(服务)-PAM(配置文件)-pam_*.so
执行程序(service),然后加载相应的PAM配置文件/etc/pam.d/(service,other代表没有在该文件明确的其他服务),调用配置文件中的认证文件(/lib64/security)进行安全认证
2.专用配置文件格式/etc/pam.d/*
type control module-path arguments
模块类型 控制 模块路径(默认/lib64/security,否则写绝对路径) 参数(可选)
3.控制字段释义
required 一票否决,必要条件,同一type继续认证,即使失败也要全部执行完毕再将失败结果返回。
requisite 一票否决,必要条件,如果失败立即返回结果。
sufficient 一票通过,充分条件,如果成功则立即返回结果,不再执行同一type内其他模块。
optional 可选,不起关键作用,返回值一般被忽略。
include 调用其他配置文件中定义的配置信息。
4.修改PAM配置文件会立即生效,注意保持至少打开一个root会话,以防止root身份验证错误!!!
5.部分认证模块的兼容性
centos7开始密码复杂度模块不再使用pam_cracklib.so,而是使用pam_pwquality.so,后者向前兼容;
rockylinux 账户认证失败次数限制不再使用 pam_tally2.so模块,而是使用pam_faillock.so模块。
其他:rockylinux 口令最小长度 不再使用vim /etc/login.defs中的PASS_MIN_LEN 8,而是使用/etc/pam.d/system-auth中的password requisite minlen=8;
标签:配置文件,pam,基线,so,模块,认证,PAM From: https://www.cnblogs.com/kingslayermeto/p/18418531