pam.d
PAM(Pluggable Authentication Modules)はSunによって提案された認証メカニズムである.それはいくつかのダイナミックリンクライブラリと一連の統一的なAPIを提供することによって、システムが提供するサービスとそのサービスの認証方式を分離し、システム管理者が必要に応じて異なるサービスに異なる認証方式を構成することができ、サービスプログラムを変更する必要がなく、同時にシステムに新しい認証手段を追加することができる.PAMは当初Solarisに集積するものであり、現在はLinux、SunOS、HP-UX 9.0等/etc/pamなどの他のシステムに移植されている.dの下のファイルに格納される各コマンドのpamモジュールの構成、例えば:
プログラムが具体的に使用するpamモジュールをクエリーします
例:
/etc/pam.d/login
/etc/pam.d/sshd
/etc/pam.d/vsftpd
一方、/etc/securityの下のファイルはpamモジュールごとに具体的な構成を行います.例えば、parm_limits.soのプロファイルは/etc/security/limitsです.
その他のpamモジュール:auth_pam_unix.soユーザーとパスワードを検証するための
account_pam_unix.soユーザーが期限切れpam_があるかどうかを検証するrootok.so現在のユーザがrootであるか否かを判断する
pam_nologin.so root以外のユーザーのログインを拒否pam_access.soユーザアクセス端末の制限
pam_time.soある期間のサービスへのアクセスを拒否する
使用方法:
1)ユーザアクセス端末Vim/etc/pamの制限.d/login
追加:auth required pam_access.so
Vim/etc/security/addess.conf
追加:-:wjx:tty 3
2)ある人があなたに対してsshd Vim/etc/pamを拒否する.d/sshd
追加:auth required pam_access.so
Vim/etc/security/access.conf
追加:-:All:192.168.119.120#Cは拒否を表します.
+は許可を表します
3)ある時間帯にあるサービスVim/etc/pamにアクセスすることを決する.d/login
Accountで追加:account required pam_time.so
Vim/etc/security/time.cong
追加:Login;tty5; wjx; Mo1000-2300
4)echoモジュールvim/etc/pam.d/login
追加:auth required pam_echo.so file=/usr/hell0.txt
touch/usr/hello.txt
vim hello.txt
hello world !!!
(5)ユーザ登録を3回以上して20秒以内に拒否する.
Vim/etc/pam.d/login
追加:auth required pam_tally.so deny=3 unlock_time=20
(6)ユーザーが設定したパスワードに5つの数字、3つの特殊記号を含まなければならないことをどのように要求しますか?
変更/etc/pam.d/system-auth、passwordでpam_を使用cracklib.so設定の最後にdcredit=5,ocredit=3を添付
(7)studentを最大4つまで同時登録することをどのように制限しますか?
pam_が必要だlimits.soモジュール.なぜなら/etc/pam.d/system-authではデフォルトでpam_limits.soは、ユーザが最大でどれだけのシステムリソースを使用するかを制限するため、
/etc/security/limits.confには以下の内容が入っています(RHEL 5は最後にありますが、注記しただけです)
(8).あるユーザーは連続してログインに失敗して3回以上ログインを禁止しますか?
変更/etc/pam.d/system-auth
auth required pam_deny.so
account required pam_tally.so deny=3#この行は3回失敗するとログイン禁止
account required pam_unix.so
もう一つはprofileファイルhttp://wenku.baidu.com/view/e90f367202768e9951e73806.html
プログラムが具体的に使用するpamモジュールをクエリーします
例:
/etc/pam.d/login
/etc/pam.d/sshd
/etc/pam.d/vsftpd
一方、/etc/securityの下のファイルはpamモジュールごとに具体的な構成を行います.例えば、parm_limits.soのプロファイルは/etc/security/limitsです.
その他のpamモジュール:auth_pam_unix.soユーザーとパスワードを検証するための
account_pam_unix.soユーザーが期限切れpam_があるかどうかを検証するrootok.so現在のユーザがrootであるか否かを判断する
pam_nologin.so root以外のユーザーのログインを拒否pam_access.soユーザアクセス端末の制限
pam_time.soある期間のサービスへのアクセスを拒否する
使用方法:
1)ユーザアクセス端末Vim/etc/pamの制限.d/login
追加:auth required pam_access.so
Vim/etc/security/addess.conf
追加:-:wjx:tty 3
2)ある人があなたに対してsshd Vim/etc/pamを拒否する.d/sshd
追加:auth required pam_access.so
Vim/etc/security/access.conf
追加:-:All:192.168.119.120#Cは拒否を表します.
+は許可を表します
3)ある時間帯にあるサービスVim/etc/pamにアクセスすることを決する.d/login
Accountで追加:account required pam_time.so
Vim/etc/security/time.cong
追加:Login;tty5; wjx; Mo1000-2300
4)echoモジュールvim/etc/pam.d/login
追加:auth required pam_echo.so file=/usr/hell0.txt
touch/usr/hello.txt
vim hello.txt
hello world !!!
(5)ユーザ登録を3回以上して20秒以内に拒否する.
Vim/etc/pam.d/login
追加:auth required pam_tally.so deny=3 unlock_time=20
(6)ユーザーが設定したパスワードに5つの数字、3つの特殊記号を含まなければならないことをどのように要求しますか?
変更/etc/pam.d/system-auth、passwordでpam_を使用cracklib.so設定の最後にdcredit=5,ocredit=3を添付
password requisite pam_cracklib.so try_first_pass retry=3 dcredit=5 ocredit=3(7)studentを最大4つまで同時登録することをどのように制限しますか?
pam_が必要だlimits.soモジュール.なぜなら/etc/pam.d/system-authではデフォルトでpam_limits.soは、ユーザが最大でどれだけのシステムリソースを使用するかを制限するため、
/etc/security/limits.confには以下の内容が入っています(RHEL 5は最後にありますが、注記しただけです)
student hard maxlogins 4(8).あるユーザーは連続してログインに失敗して3回以上ログインを禁止しますか?
変更/etc/pam.d/system-auth
auth required pam_deny.so
account required pam_tally.so deny=3#この行は3回失敗するとログイン禁止
account required pam_unix.so
もう一つはprofileファイルhttp://wenku.baidu.com/view/e90f367202768e9951e73806.html