Linux下的/etc/pam.d/system-auth配置文件参数说明

这篇具有很好参考价值的文章主要介绍了Linux下的/etc/pam.d/system-auth配置文件参数说明。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一 配置文件内容

首先打开配置文件/etc/pam.d/system-auth,我们会发现这个文件大致分成四列四部分内容。

[root@master ~]# cat /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faildelay.so delay=2000000
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

二 各列参数说明

1)第一列

其中第一列包括 auth、account、password、session四个模块。

参数 释义
auth 用来识别用户身份,比如提示用户输入密码,判断用户是否为root等
account 检测账户是否允许访问。比如是否允许登录,是否达到最大用户数,root用户是否允许在这个终端登录等
password 进行用户信息更新,一般指修改用户密码
session 用来配置和管理用户会话,定义用户登陆前与退出后的操作

2)第二列

第二列包含 required requisite suffifient optinal 四个参数。

参数 释义
required 该模块失败后,也会执行完其余的模块,最后才会返回错误信息
requisite 该模块必须success才能使认证继续进行,失败后直接返回错误信息,不执行后面的模块
sufficient 如果失败则忽略;如果成功,并且之前的required模块没有发生故障,PAM会向应用程序返回通过的结果,不会再调用堆栈中其他模块
optional 忽略结果,不管成功或者失败
include 与处理结果无关,直接引用其他PAM模块的配置参数

3)第三列和第四列

具体使用的类以及参数设置。

三 常用类说明

1)密码过期,要求强制修改密码,且必须满足密码的复杂度。
此处使用 pam_cracklib.so 这个类。

password  required  pam_cracklib.so enforce_for_root retry=a ...

下面是我们常用的参数以及含义解释。

参数 含义
enforce_for_root 即使是root用户,也必须符合复杂度条件
retry=a 提示a次用户密码错误输入
minlen=b 密码长度不小于b个字符
ucredit=c 至少有c个大写字母
lcredit=d 至少有d个大写字母
dcredit=e 至少有e个数字
ocredit=f 至少有f个其他特殊字符
difok=g 新密码中至少有g个字符和旧密码不同

注意,上面的cdef数字是小于0的数字时,表示要求最少需要几个。
当cdef数字是大于0的数字时,表示要求最多有几个。
比如lcredit=-3,表示最少要有3个小写字母。
比如dcredit=2,表示最多只能有2个数字。

由于这个类比较常用,且经常在实际生产环境中会对配置文件的密码复杂度进行修改,所以单独将其拿出来说明。

下面是其他一些常用的类以及对应的模块,了解即可。文章来源地址https://www.toymoban.com/news/detail-815518.html

类可用的模块 含义说明
pam_unix.so auth 提示用户输入密码,并与/etc/shadow对比,匹配则返回0
pam_unix.so account 检查用户账号信息,账号可用,返回0
pam_unix.so password 修改用户的密码,并将其更新到/etc/shadow文件中
类可用的模块 含义说明
pam_shells.so auth 如果用户想登陆系统,它的shell必须是 /etc/shells文件中的shell
类可用的模块 含义说明
pam_deny.so auth 用于拒绝访问
pam_deny.so account 用于拒绝访问
pam_deny.so password 用于拒绝访问
类可用的模块 含义说明
pam_permit.so auth 模块任何时候都返回成功
pam_permit.so account 模块任何时候都返回成功
pam_permit.so password 模块任何时候都返回成功
类可用的模块 含义说明
pam_securetty.so auth 当用户以root登录时,登陆的tty 必须在 /etc/securetty 中
类可用的模块 含义说明
pam_listfile.so auth 访问应用程序的控制开关
pam_listfile.so account 访问应用程序的控制开关
pam_listfile.so password 访问应用程序的控制开关
pam_listfile.so session 访问应用程序的控制开关
类可用的模块 含义说明
pam_limits.so session 定义使用系统资源的上限,包括root用户。可以通过 /etc/security/limits.conf 设置

到了这里,关于Linux下的/etc/pam.d/system-auth配置文件参数说明的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Linux 下的网卡配置文件解析

    在实际的应用中,网卡配置文件中,用不到的配置项可以直接删除,保留需要的配置 下面实际修改和保留的网卡配置文件,作参考

    2024年02月16日
    浏览(40)
  • 关于windows下的System32与SysWOW64两个文件夹

    今天编译一个简单的图形程序,编译时报错 在提示下想到需要用到windows自带的gdi32full.dll文件 想着我用的mingw64编出的是64位的程序 于是去 C:WindowsSysWOW64 目录下找到 gdi32full.dll 然后编译报  然后在这里卡了很久 各种探索尝试后发现把文件换成 C:WindowsSystem32 文件夹里面的

    2024年02月04日
    浏览(115)
  • Linux 系统中etc/passwd文件详解

    在 Linux 系统中,每个用户都有一个对应的 /etc/passwd 文件中的记录行。这个文件对所有用户都是可读的,它记录了每个用户的一些基本属性信息。 本文将详细介绍 /etc/passwd 文件的语法、实操和各个字段的含义,以及一些关键的命令操作。 每个 /etc/passwd 文件中的记录行由冒号

    2024年02月10日
    浏览(43)
  • Linux教程——Linux /etc/shadow(影子文件)内容解析(超详细)

    /etc/shadow 文件,用于存储 Linux 系统中用户的密码信息,又称为“影子文件”。 前面介绍了 /etc/passwd 文件,由于该文件允许所有用户读取,易导致用户密码泄露,因此 Linux 系统将用户的密码信息从 /etc/passwd 文件中分离出来,并单独放到了此文件中。 /etc/shadow 文件只有 root 用

    2024年02月05日
    浏览(81)
  • Linux网卡配置之 /etc/network/interfaces

    ​ 前面写了 Linux网卡配置 介绍了/etc/sysconfig/network-scripts的配置,但是部分linux发行版(如ubuntu)没有这个文件夹,而是改成了/etc/network/interfaces,这次补充介绍/etc/network/interfaces。 暂时性网络地址:利用 ifconfig 等命令配置的网络信息,会立即生效,但重启网络服务或系统会失

    2024年02月12日
    浏览(39)
  • linux 密码文件 /etc/shadow,SHA512 破解

    哈希(又称为散列算法)不是加密,不是编码;哈希是不可逆的,加密可逆;编码解码不需要密钥,加解密需要密钥 常见的编码 哈希 加解密算法如下 编码:base64 Hex编码 Huffman编码 哈希:md5 SHA-1 SHA-128 SHA-256 SHA-512 SM3 加密: ​ - 对称加密(加解密密钥一样):DES AES SM4 ​

    2024年02月10日
    浏览(36)
  • Linux 中 /etc/hosts 文件的用途是什么

    无论是Linux操作系统还是windows操作系统,都存在 /etc/hosts 文件,该文件主要用于映射 IP 地址和域名之间的连接。如果你对这句话还不是特别理解,那就跟着我继续往下一起来看一下这个文件到底是如何将IP地址和域名之间进行映射的。 我们通过前言可以初步了解到 /etc/hosts

    2024年02月08日
    浏览(35)
  • linux中etc目录下hosts与resolv.conf文件作用

    个人博客 文件则是一个本地的域名解析文件,它可以用来手动指定域名和IP地址的对应关系。 当操作系统在DNS服务器中无法找到域名对应的IP地址时,它会查看 /etc/hosts 文件 ,以查找是否有手动指定的对应关系。这个文件通常用于在本地测试和开发环境中,或者是在不想使用

    2024年02月05日
    浏览(48)
  • linux设置日志文件保存时间为6个月(/etc/logrotate.conf)

    1、编辑/etc/logrotate.conf文件 将全局的weekly下的rotate 4改为rotate 24,表示6个月; 将指定文件的monthly下的rotate 1改为rotate 6,表示6个月。  2、重启日志服务

    2024年02月11日
    浏览(63)
  • Ubuntu20和22的 /etc/netplan/*.yaml 一些配置静态IP的文件收集

    Ubuntu22.04Desktop原始 /etc/netplan/01-network-manager-all.yaml Ubuntu22.04Server原始 /etc/netplan/00-installer-config.yaml 注释中的 subiquity 是服务安装程序的名称 开头的数字00或01等, 有优先级的作用 Ubuntu22, server版和desktop版使用netplan管理下层 不同 的网络工具 Server版用 netplan 配置 systemd-networkd Des

    2024年01月16日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包