当前位置：首页 > news >正文

Linux运维篇-PAM安全模块配置

news 2026/2/8 11:31:03

在这里插入图片描述

PAM是什么？

PAM（可插入认证模块）是UNIX操作系统上一个实现模块化的身份验证的服务。当程序需要对用户进行身份验证时加载并执行。PAM文件通常位于/etc/pam.d目录中。
而Linux-PAM，是linux可插拔认证模块，是一套可定制、可动态加载的共享库，使本地系统管理员可以随意选择程序的认证方式。

需要注意的是，/etc/pam.d目录中的文件默认只有root管理员用户有权限修改，也可针对root本身做一些配置，调整前需要了解每一个配置项的含义，防止出现乌龙配置，一旦配置失误错禁了root身份验证，导致系统无法登录，只能到单用户或救援模式紧急恢复。

常见的配置文件

在redhat中，pam.d目录下有以下内容：
在这里插入图片描述
重要文件介绍：

文件名	描述
login	本地登陆的认证方式
sshd	通过ssh服务远程登陆的认证方式
sudo	使用sudo提权时的认证方式
common-auth	通用身份认证模块
common-password	通用密码规则模块
common-account	通用账户管理模块，主要定义了账户权限的相关规则-
common-session	通用会话管理模块

pam认证的构成

每一行大致可以区分为三个字段：

 认证类型    控制类型    PAM模块及其参数

第一列代表PAM认证模块类型

auth：认证、授权（检查用户的名字、密码是否正确account：检查用户的帐户是否到期、禁用等session：控制会话password：控制用户修改密码过程

第二列代表PAM控制标记

required：必须通过此认证，否则不再往下认证下去，直接退出requisite：必须通过认证，但以后还有机会，可以往下认证sufficient：一经通过，后面的不再认证（只要通过这个条件则直接通过）optional：可选项，通不通过均可

第三列代表PAM模块和PAM模块的参数，默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径
常用pam模块：

名称	描述
pam_access.so	控制访问者的地址与帐号的名称
pam_listfile.so	控制访问者的帐号名称或登陆位置
pam_limits.so	控制为用户分配的资源
pam_rootok.so	对管理员（uid=0）无条件通过
pam_userdb.so	设定独立用户帐号数据库认证

常见配置修改

root用户登录设置

修改文件 /etc/pam.d/system-auth
在 pam_env.so下一行添加

pam_tally2.so onerr=fail deny=3 unlock_time=100 even_deny_root root_unlock_time=100

onerr=fail 表示定义了当出现错误时的缺省返回值；
even_deny_root 表示也限制root用户；
deny 表示设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户；
unlock_time 表示设定普通用户锁定后，多少时间后解锁，单位是秒；
root_unlock_time 表示设定root用户锁定后，多少时间后自动解锁否则手动，单位是秒；

ssh远程登录限制

修改文件 /etc/pam.d/sshd
在 pam_sepermit.so下一行添加

pam_tally2.so onerr=fail deny=3 unlock_time=100 even_deny_root root_unlock_time=100

pam_tally2 –u 账号查看失败登录

pam_tally2 --user <用户名> --reset 重置失败登录（需要管理员账户执行）

Linux运维篇-PAM安全模块配置

PAM是什么？

常见的配置文件

pam认证的构成

常见配置修改

root用户登录设置

ssh远程登录限制

相关文章：

Linux运维篇-PAM安全模块配置

麒麟V10系统上安装Oracle

项目开发实践——基于SpringBoot+Vue3实现的在线考试系统(七)

Elasticsearch：Jira 连接器教程第二部分 - 6 个优化技巧

Vulnhub Earth靶机攻击实战(一)

51单片机——DS18B20温度传感器

HTML5+Canvas实现的鼠标跟随自定义发光线条源码

关于jwt和security

统计学习算法——逻辑斯谛回归

算法（蓝桥杯）贪心算法5——删数问题的解题思路

数字孪生发展及应用

MYSQL对表的增删改查

左神算法基础提升--4

【docker踩坑记录】

CloudberryDB（四）并行执行

LARGE LANGUAGE MODELS ARE HUMAN-LEVEL PROMPT ENGINEERS

rabbitmq安装延迟队列

Kubernetes (K8s) 入门指南

Python 调用 Ollama 库：本地大语言模型使用详解

python matplotlib绘图，显示和保存没有标题栏和菜单栏的图像

java_网络服务相关_gateway_nacos_feign区别联系

23-Oracle 23 ai 区块链表（Blockchain Table）

CentOS下的分布式内存计算Spark环境部署

将对透视变换后的图像使用Otsu进行阈值化，来分离黑色和白色像素。这句话中的Otsu是什么意思？

MySQL 8.0 OCP 英文题库解析（十三）

【7色560页】职场可视化逻辑图高级数据分析PPT模版

Yolov8 目标检测蒸馏学习记录

Linux 内存管理实战精讲：核心原理与面试常考点全解析

【Linux】Linux 系统默认的目录及作用说明

代码规范和架构【立芯理论一】（2025.06.08）