怎樣解析Linux系統/etc/pam.d/system-auth文件

這篇文章的內容主要圍繞怎樣解析Linux系統/etc/pam.d/system-auth文件進行講述，文章內容清晰易懂，條理清晰，非常適合新手學習，值得大家去閱讀。感興趣的朋友可以跟隨小編一起閱讀吧。希望大家通過這篇文章有所收獲！

在Linux中/etc/pam.d/system-auth文件主要用于密碼設置及登陸控制。

密碼設置及登陸控制文件位置：/etc/pam.d/system-auth， 示例文件內容如下：

 auth      required  pam_securetty.so
 
 auth      required  pam_unix.so shadow nullok
 
 auth      required  pam_nologin.so
 
 account   required  pam_unix.so
 
 password  required  pam_cracklib.so retry=3
 
 password  required  pam_unix.so shadow nullok use_authtok
 
 session   required  pam_unix.so

三個auth都會用來進行登陸檢查，即使第一個模塊失敗，用來防止用戶知道在哪個過程失敗，主要目的是防止攻擊。 auth 組件：認證接口，要求并驗證密碼 account組件：檢測是否允許訪問。檢測賬戶是否過期或則在末端時間內能否登陸。 password組件：設置并驗證密碼 session組件：配置和管理用戶sesison。

required:該模塊必須success才能進行繼續。即使失敗用戶也不會立刻獲知，直到所有相關模塊完成。 requisite：該模塊必須success才能使認證繼續進行。 suffifient:如果失敗則忽略。 optinal:忽略結果，不管是否失敗。

 auth      required  pam_securetty.so

確保如果用戶嘗試以 root 身份登錄, 則用戶登錄的 tty 將列在/etc/securetty 文件中, 如果該文件存在的話。

 auth      required  pam_unix.so shadow nullok

提示登陸用戶輸入密碼然后根據/etc/passwd中保存的對應密碼進行驗證，如果/etc/shadow存在的話。pam_unis.so模塊會自動檢測并使用密碼驗證用戶。

 auth      required  pam_nologin.so

認證最后的步驟，驗證/etc/nologin文件是否存在，如果nologin存在并且用戶身份不是root，則認證失敗。

 account   required  pam_unix.so

該模塊執行必要的賬戶檢驗。如果enable shadow passwords,pam_unix.so模塊會檢驗賬號是否已經過期或則在寬限的時間內改過密碼。

 password  required  pam_cracklib.so retry=3

如果密碼過期，pam_cracklib.so要求一個新密碼，如果新密碼復雜度不滿足不要，會在給用戶兩次機會重新輸入密碼強度夠的密碼。一共三次。pam_cracklib.so支持的選項如下： minlen=N：新密碼的最小長度 dcredit=N：當N>0時表示新密碼中數字出現的最多次數；當N0時表示新密碼中大寫字母出現的最多次數；當N0時表示新密碼中小寫字母出現的最多次數；當N0時表示新密碼中特殊字符出現的最多次數；當N

 password  required  pam_unix.so shadow nullok use_authtok

如果需要更改用戶的密碼，則必須由pam_unix.so模塊來操作。 shadow標識：當更新用戶密碼的時候創建shadow passwords nullok標識：用戶可以從空密碼更改他們的密碼否則空密碼視為賬戶鎖定。 user_authok標識：禁用請求新密碼。接受任何由前一個功能模塊創建的密碼，但是改密碼必須交由pam_cracklib.so檢測。

 session required pam_unix.so

pam_unix.so session組件，在/var/log/messages當中記錄用戶名和服務類型

感謝你的閱讀，相信你對“怎樣解析Linux系統/etc/pam.d/system-auth文件”這一問題有一定的了解，快去動手實踐吧，如果想了解更多相關知識點，可以關注億速云網站！小編會繼續為大家帶來更好的文章！