linux登录认证过程,关于Linux登录认证过程

最近，安装pam和登录过程，一些经验总结如下：

Linux系统登录过程简述如下：

read /etc/inittabget username in ttyget password

init ---------------------> mingetty ---------------------------> login ------------------

/etc/pam.d

----->call PAM modules -------------> act/rej

Linux PAM 是一个通用认证机制。为库的形式。

配置文件放在/etc/pam.conf或/etc/pam.d/ . 配置文件可以使用include指令包含其它配置文件。当支持Linux-PAM的客户程序调用PAM api. PAM首先根据客户程序的类别，检查配置文件中的PAM在此类别中的堆叠模块数以及相应的堆叠模块名。依次调用这些模块进行认证检查。对于每一种模块的所需的配置文件放在/etc/security/目录中。

一般包括4种类别

auth 验证类，用于登录验证

account 帐号类，用于非验证的帐号管理，如限制/允许访问基于，时间，允许的最大用户数，用户名

password 口令维护类，用于修改口令

session 会话类，用于用户在使用某项服务前或后必须先做某件事的检查。

模块后的域，一般是该模块的参数。

所以linux认证，要保证login，passwd正常工作必须保证PAM模块被正确安装和配置(配置文件必须存在)，一般的安装目录为：

PAM全局文件：/etc/pam.conf 或 /etc/pam.d/* ；pam.d目录的存在会引起pam.conf被忽略。

PAM模块：/lib/security

PAM模块配置文件：/etc/security

系统登录(auth)修改(password)常用的模块是:

pam_unix ：提供传统unix登录密码检查(从/etc/passwd和，或/etc/shadow)。

pam_cracklib：提供基于字典的密码复杂度和安全性检查。一般作为pam_unix的first pass(及上层堆叠模块)进行检查。pam_cracklib.so由PAM包提供。但它需要cracklib库(libcrack.so)。cracklib的字典文件一般位于：/usr/lib/cracklib_dict.*文件中，或/usr/share/cracklib/pw_dict.*文件中

典型的PAM配置文件如下：

#%PAM-1.0

# This file is auto-generated.

# User changes will be destroyed the next time authconfig is run.

auth required pam_env.so

auth sufficient pam_unix.so nullok try_first_pass

auth requisite pam_succeed_if.so uid >= 500 quiet

auth required pam_deny.so

account required pam_unix.so

account sufficient pam_localuser.so

account sufficient pam_succeed_if.so uid < 500 quiet

account required pam_permit.so

password requisite pam_cracklib.so try_first_pass retry=3

password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok

password required pam_deny.so

session optional pam_keyinit.so revokesession required pam_limits.sosession [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uidsession required pam_unix.so

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!