当前位置：首页 > news >正文

Linux运维篇-PAM安全模块配置

在这里插入图片描述

PAM是什么？

PAM（可插入认证模块）是UNIX操作系统上一个实现模块化的身份验证的服务。当程序需要对用户进行身份验证时加载并执行。PAM文件通常位于/etc/pam.d目录中。
而Linux-PAM，是linux可插拔认证模块，是一套可定制、可动态加载的共享库，使本地系统管理员可以随意选择程序的认证方式。

需要注意的是，/etc/pam.d目录中的文件默认只有root管理员用户有权限修改，也可针对root本身做一些配置，调整前需要了解每一个配置项的含义，防止出现乌龙配置，一旦配置失误错禁了root身份验证，导致系统无法登录，只能到单用户或救援模式紧急恢复。

在redhat中，pam.d目录下有以下内容：
在这里插入图片描述
重要文件介绍：

每一行大致可以区分为三个字段：

 认证类型    控制类型    PAM模块及其参数

第一列代表PAM认证模块类型

auth：认证、授权（检查用户的名字、密码是否正确account：检查用户的帐户是否到期、禁用等session：控制会话password：控制用户修改密码过程

第二列代表PAM控制标记

required：必须通过此认证，否则不再往下认证下去，直接退出requisite：必须通过认证，但以后还有机会，可以往下认证sufficient：一经通过，后面的不再认证（只要通过这个条件则直接通过）optional：可选项，通不通过均可

第三列代表PAM模块和PAM模块的参数，默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径
常用pam模块：

修改文件 /etc/pam.d/system-auth
在 pam_env.so下一行添加

pam_tally2.so onerr=fail deny=3 unlock_time=100 even_deny_root root_unlock_time=100

修改文件 /etc/pam.d/sshd
在 pam_sepermit.so下一行添加

pam_tally2.so onerr=fail deny=3 unlock_time=100 even_deny_root root_unlock_time=100

pam_tally2 –u 账号查看失败登录

pam_tally2 --user <用户名> --reset 重置失败登录（需要管理员账户执行）