19.pam_rhosts_auth認證模塊 所屬類型: auth 功能描述:該模塊為標准的網絡服務(諸如rlogin、rsh)提供認證。 可帶參數:請參考PAM文檔說明 20.pam_rootok認證模塊 所屬類型: auth 功能描述:使用該模塊具有很大的安全風險,該模塊的唯一功能就是讓uid為0的用戶不需輸入密碼就可以登錄系統。 可帶參數:無 21.pam_securetty認證模塊 所屬類型: auth 功能描述:該模塊用來控制root用戶只可以從包含在/etc/securetty文件中的終端登錄系統。 22.pam_shell認證模塊 所屬類型: auth 功能描述:如果用戶的shell在/etc/shells中列出,則允許用戶進行驗證,如果/etc/passwd中沒有指定shell,則缺省使用/bin/sh. 23.pam_time認證模塊 所屬類型: account 功能描述:對用戶訪問服務提供時間控制,也就是說,用來控制用戶可以訪問服務的時間,配置文件為:/etc/security/pam.conf。 可帶參數:無 配置文件說明: 每一行的構成語法如下: services; ttys; users; times services:服務名稱 ttys:規則生效的終端名,可以*號表示任何終端,!表示非。 users:規則作用的用戶,可以*號表示任何用戶,!表示非。 times:指定時間,通常使用日期時間格式。用兩個字母指定日期,比如MoTuSa就是指星期一星期二和星期六。注意重復的部分將被排除在外,比如MoTuMo就指星期二,MoWk指除了星期一以外的每一天。兩個字母的組合有: Mo Tu We Th Fr Sa Su Wk Wd Al Mo到Su分別指從星期一到星期天,Wk指每一天,Wd指周末,Al也指每一天。 采用24小時制指定時間,也即采用HHMM的形式。比如Mo1800-0300就是每個星期一的下午6點到第二天的凌晨3點。 24.pam_unix認證模塊 所屬類型: account; auth; passWord; session 功能描述:該模塊是標准UNIX認證模塊pam_unix的替代模塊。 在作為auth類型使用時,此時該模塊可識別的參數有debug、audit、use_first_pass、try_first_pass、nullok、nodelay,主要功能是驗證用戶密碼的有效性,在缺省情況下(即不帶任何參數時),該模塊的主要功能是禁止密碼為空的用戶提供服務; 在作為account類型使用時,此時該模塊可識別的參數有debug、audit,該模塊主要執行建立用戶帳號和密碼狀態的任務,然後執行提示用戶修改密碼,用戶采用新密碼後才提供服務之類的任務; 在作為password類型使用時,此時該模塊可識別的參數有debug、 audit、 nullok;、not_set_pass、use_authtok、try_first_pass、use_first_pass、md5、bigcrypt、shadow、nis、 remember,該模塊完成讓用戶更改密碼的任務; 在作為session類型使用時,此時該模塊沒有可識別的參數,該模塊僅僅完成記錄用戶名和服務名到日志文件的工作。 可帶參數: debug:將調試信息寫入日志 audit:記錄更為信息的信息 nullok:缺省情況下,如果用戶輸入的密碼為空,則系統能夠不對其提供任何服務。但是如果使用參數,用戶不輸入密碼就可以獲得系統提供的服務。同時,也允許用戶密碼為空時更改用戶密碼。 nodelay:當用戶認證失敗,系統在給出錯誤信息時會有一個延遲,這個延遲是為了防止 黑客猜測密碼,使用該參數時,系統將取消這個延遲。通常這是一個1秒鐘的延遲。 try_first_pass:在用作auth模塊時,該參數將嘗試在提示用戶輸入密碼前,使用前面一個堆疊的auth模塊提供的密碼認證用戶;在作為password模塊使用時,該參數是為了防止用戶將密碼更新成使用以前的老密碼。 use_first_pass:在用作auth模塊時,該參數將在提示用戶輸入密碼前,直接使用前面一個堆疊的auth模塊提供的密碼認證用戶;在作為password模塊使用時,該參數用來防止用戶將密碼設置成為前面一個堆疊的password模塊所提供的密碼。 no_set_pass:使密碼對前後堆疊的password模塊無效。 use_authok:強制使用前面堆疊的password模塊提供的密碼,比如由pam_cracklib模塊提供的新密碼。 md5:采用md5對用戶密碼進行加密。 shadow:采用影子密碼。 unix:當用戶更改密碼時,密碼被放置在/etc/passwd中。 bigcrype:采用DEC C2算法加密用戶密碼。 nis:使用NIS遠處過程調用來設置新密碼。 remember=x:記錄x個使用過的舊密碼,這些舊密碼以MD5方式加密後被保存在/etc/security/opasswd文件中。 broken_shadow:在作為account使用時,該參數用來忽略對影子密碼的讀錯誤。 likeauth:未知。 配置實例: 參考/etc/pam.d/system-auth 25.pam_userdb認證模塊 所屬類型: auth 功能描述:使用該模塊允許您通過一個Berkeley數據庫來驗證用戶,假如您使用這種數據庫來保存用戶信息的話。 可帶參數: debug:將調試信息寫入日志 icase:忽略密碼大小寫 dump:將數據庫中的所有條目記錄在日志文件中,有安全隱患。 db=filename:指定數據庫文件的完整路徑。 use_authok:強制使用前面堆疊的auth模塊提供的密碼。 unknown_ok:當數據庫中沒有用戶信息時,不返回錯誤。 配置實例: #%PAM-1.0 auth required pam_listfile.so item=user sense=deny file=/etc/FTPusers onerr=sUCceed auth sufficient pam_userdb.so icase db=/tmp/dBTest auth required pam_pwdb.so shadow nullok try_first_pass auth required pam_shells.so account required pam_pwdb.so session required pam_pwdb.so 26.pam_warn認證模塊 所屬類型: auth,password 功能描述:記錄服務、終端名、用戶名、遠程主機等信息到日志文件。 27.pam_stack認證模塊 所屬類型: auth,account, password,session 功能描述:該模塊可以用來實現pam認證的遞歸調用。 可帶參數: debug:將調試信息寫入日志 service=name:指定調用的配置文件。 配置實例: 參考/etc/pam.d/login
