http://www.ibm.com/developerworks/cn/linux/l-pam/
http://docs.oracle.com/cd/E19253-01/819-7056/ch3pam-01/index.html

http://blog.csdn.net/shenlan211314/article/details/6569592  这篇文章较详细

打开/etc/pam.d/目录下的任何一个配置文件,其中每行的验证规则都使用如下所示的语法格式:
    Type  Control-flag  Module-path  Module-arguments
    其中每行代表一个独立的验证方式,每个配置文件可以由多种验证规则相互叠加而成。验证时PAM-API会按照从上往下的方式一一读取这些验证规则,并根据其中的控制标志做出相应的动作。

required    某个失败,继续往下,直到所有完成后。
requisite    某个失败,所有结束
sufficient    某个成功,所有结束

验证服务模块-用于授予用户访问帐户或服务的权限。提供此服务的模块可以验证用户并设置用户凭证。

帐户管理模块-用于确定当前用户的帐户是否有效。提供此服务的模块可以检查口令或帐户的失效期以及限时访问。

会话管理模块-用于设置和终止登录会话。

口令管理模块-用于强制实施口令强度规则并执行验证令牌更新。

[root@84-monitor pam.d]# cat sshd
#%PAM-1.0
auth       required     pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth

[root@84-monitor pam.d]# cat password-auth-ac
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

[root@84-monitor pam.d]# cat login
#%PAM-1.0
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
auth       include      system-auth
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
session    optional     pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      system-auth
-session   optional     pam_ck_connector.so

减号的含义是如果因为系统里没有这个模块而不能载入的话,pam库将不记录日志。

linux-PAM (Pluggable Authentication Modules for linux)是一个共享库套件,它能使本地系统管理员选择应用程序如何认证用户,

常见的应用程序有login,sshd,su,sudo,passwd

login的pam日志,操作为在本地控制台登录输入用户名与密码
Dec  9 11:34:31 localhost login: pam_unix(login:session): session opened for user root by LOGIN(uid=0)
Dec  9 11:34:31 localhost login: ROOT LOGIN ON tty1
Dec  9 11:42:06 localhost login: pam_unix(login:session): session closed for user root

sshd的pam日志,操作为ssh连接一个服务器并输入用户名与密码,查看日志,然后退出
Dec  9 11:38:52 localhost sshd[30208]: Accepted password for root from 192.168.1.88 port 50718 ssh2
Dec  9 11:38:52 localhost sshd[30208]: pam_unix(sshd:session): session opened for user root by (uid=0)
Dec  9 11:40:13 localhost sshd[30208]: pam_unix(sshd:session): session closed for user root
 
su的pam日志,操作为用普通用户登录,然后su -输入root密码,然后退出
Dec  9 11:46:02 localhost su: pam_unix(su-l:session): session opened for user root by a1(uid=500)
Dec  9 11:47:27 localhost su: pam_unix(su-l:session): session closed for user root

sudo的pam日志,第一条是输入普通用户密码错误,第二条是此普通用户不在sudoers file里
Dec  9 11:58:47 localhost sudo: pam_unix(sudo:auth): authentication failure; logname=a1 uid=500 euid=0 tty=/dev/pts/0 ruser=a1 rhost=  user=a1
Dec  9 11:59:00 localhost sudo:       a1 : user NOT in sudoers ; TTY=pts/0 ; PWD=/home/a1 ; USER=root ; COMMAND=/bin/df -h
Dec  9 14:16:25 localhost sudo:       a1 : TTY=pts/0 ; PWD=/home/a1 ; USER=root ; COMMAND=/sbin/fdisk -l
Dec  9 14:17:03 localhost sudo:       a1 : user NOT in sudoers ; TTY=pts/0 ; PWD=/home/a1 ; USER=root ; COMMAND=/sbin/fdisk -l
修改下面,将a1前的#号去掉,即时生效,然后执行sudo时会成功。
[root@localhost pam.d]# visudo
## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
#a1 ALL=/bin/df -h,/sbin/fdisk

passwd的pam日志,操作为普通用户登录,然后passwd改自己的密码,第一条日志是当前密码输入错误,第二条是因为太复杂密码不匹配,最后一条是设置成功
Dec  9 11:50:22 localhost passwd: pam_unix(passwd:chauthtok): authentication failure; logname=a1 uid=500 euid=0 tty=pts/0 ruser= rhost=  user=a1
Dec  9 11:55:44 localhost passwd: pam_cracklib(passwd:chauthtok): pam_get_authtok_verify returned error: Failed preliminary check by password service
Dec  9 11:57:30 localhost passwd: pam_unix(passwd:chauthtok): password changed for a1

linux库之pam的更多相关文章

  1. 查看linux库文件32位还是64位

    查看linux库文件32位还是64位 分类: linux2014-09-25 09:46 238人阅读 评论(0) 收藏 举报 objdump -a  *.a objdump -a  *.so

  2. linux库文件编写入门(笔记)

    linux库文件的编写 作者: laomai地址: http://blog.csdn.net/laomai 本文主要参考了如下资料⑴hcj写的"Linux静态/动态链接库的创建和使用&quo ...

  3. Linux库的创建和使用

    Linux库的概念 库是一种软件组建技术,里面封装了数据和函数,提供给用户程序调用.使用库能够使程序模块化,提高编译速度,实现代码重用,易于升级. Windows系统提供了大量静态链接库(.lib)和 ...

  4. VisualGDB系列11:Linux C++项目中使用外部Linux库

    根据VisualGDB官网(https://visualgdb.com)的帮助文档大致翻译而成.主要是作为个人学习记录.有错误的地方,Robin欢迎大家指正. 在<使用VS创建Linux静态库和 ...

  5. Linux库文件路径的添加

    库文件在连接(静态库和共享库)和运行(仅限于使用共享库的程序)时被使用,其搜索路径是在系统中进行设置的.一般 Linux 系统把 /lib 和 /usr/lib 两个目录作为默认的库搜索路径,所以使用 ...

  6. linux 库文件配置

    linux 库文件配置 /etc/ld.so.conf 或 /etc/ld.so.conf.d/*.conf

  7. Linux下基于PAM机制的USB Key的制作

    摘自:https://server.zzidc.com/fwqpz/157.html USB Key这个概念最早是由加密锁厂家提出来的,加密锁是用来防止软件盗版的硬件产品,加密锁的概念是使安装在计算机 ...

  8. linux库

     将库函数打包成一个单元使之能够在运行时被多个进程共享的技术,这种技术能够节省磁盘空间和RAM. 一. 静态库:1.概念:    静态库就是一些目标文件的集合,以.a结尾.静态库在程序链接的时候使用, ...

  9. Linux 库文件详解

    转自: http://www.cppblog.com/deane/articles/165216.html http://blog.sciencenet.cn/blog-1225851-904348. ...

随机推荐

  1. UITouch的用法

    UITouch一般无法直接获取,是通过UIView的touchesBegan等函数获得. //这四个方法是UIResponder中得方法 // Generally, all responders wh ...

  2. Python _ 开始介绍对象

    Python的私有变量,函数是在前面加上一个双下划线'__'来声明的,气访问和C++大同小异 例如 class Person: __name='小甲鱼' def print1(self): # 和 c ...

  3. MySQL数据库系统概述

    了解MySQL数据库管理系统,内容如下:   一.基于数据库的PHP项目       目前动态网站都是基于数据库,将网站内容使用数据库管理系统去管理       用户, 栏目, 图片, 文章, 评论都 ...

  4. 【转】终于干了点正事。。三天用了三个库opencv、emgu、aforge.net[2011.7.30]

    原文转自: http://blog.csdn.net/tutuguaiguai0427/article/details/6646051 这阵子,确切说这几天,还是看了好多东西的.虽然无用功居多. 上篇 ...

  5. 第二个Sprint冲刺第五天

    讨论地点:qq 讨论成员:邵家文.李新.朱浩龙.陈俊金 今天工作:测试了数据的传输,总共用了三个方案,其中两个失败了,一个成功了. 开发感悟:今天吃完饭就赶着发博客了,最近有几个朋友令我特别的烦,翻脸 ...

  6. LeetCode Find the Duplicate Number 找重复出现的数(技巧)

    题意: 有一个含有n+1个元素的数组,元素值是在1-n之间的整数,请找出其中出现超过1次的数.(保证仅有1个出现次数是超过1的数) 思路: 方法一:O(nlogn).根据鸽笼原理及题意,每次如果< ...

  7. csdn第三名

    编号:1026时间:22016年7月18日11:10:35功能:csdn第三名URL :http://blog.csdn.net/phphot

  8. 正则表达式 regular expression

    原博客地址:http://www.cnblogs.com/deerchao/archive/2006/08/24/zhengzhe30fengzhongjiaocheng.html

  9. Note Pad++ 关闭语法错误时在代码下面的红线标识

    菜单栏 —- 插件 —- DSpellCheck . 将勾去掉即可

  10. sdut 2153 Clockwise (2010年山东省第一届ACM大学生程序设计竞赛)

    题目大意: n个点,第i个点和第i+1个点可以构成向量,问最少删除多少个点可以让构成的向量顺时针旋转或者逆时针旋转. 分析: dp很好想,dp[j][i]表示以向量ji(第j个点到第i个点构成的向量) ...