PAM
账户信息的验证,可动态加载验证模块,提高验证的灵活性; PAM是一套应用程序接口,提供一连串的验证机制,借由一个与指令程序相同文件名的配置文件进行认证分析.
验证的过程包含三个字段:
1.验证类别(Type):
- author(认证):检验使用身份,需要密码进行检验
- account(账户):进行授权的过程,检验使用者是否具有正确的使用权限.举例:采用过期的密码进行登录操作
- session:使用者在此次的登录过程中(或使用这个指令),PAM给予的环境设置,用于记录使用者登出/登录的信息
- password:提供验证的修订工作
2.验证控制的flag(验证过程的标准)
- required的验证会带有success/failure标志,以决定后续的验证是否进行,有利于数据登录
- requisite与require相同,但是如果requisite返回failure,将会立马终止验证
- sufficient验证成功立马回报success原程序,并终止后续验证,failure则继续进行验证,与requisite相反
- optional用于显示信息
3.常用模块
- pam_securetty.so:限制管理员从安全的终端登录.例:root可以从tty1~tty7,ssh登录;但无法通过Telnet登录Linux主机(安全性能不好)
- pam_nologin.so:限制一般用户是否能登陆主机,当/etc/nologin文件存在时,一般用户无法登陆,此文件一般不存在系统中
- pam_selinux.so:针对程序进行细部的权限管理,影响使用者对程序的使用
- pam_loginuid.so:检验使用的UID
- pam_env.so:设置环境变量的模块
- pam_linux.so:授权阶段的账号授权管理,用于session阶段的登录文件的记录
- pam_pwquality.so:检验密码强度(密码是否包含在字典中),可用于在设置输入密码几次失败就掉线
注: PAM模块文件放置在/lib64/security/*中,若登录过程中出现无法登陆,PAM模块会将所有的信息记录在/var/log/secure中,可进行查阅参考
用户信息传递
1.查询使用者:
w/who: 显示目前系统上的使用者
lastlog:显示最近的每个账号登录时间
2.使用者在线对谈:
write: write 使用者账号 所在端口 //Ctrl+d 结束输入;
注:若root设置mesg n(是否可以向终端写入信息)一般使用者无法向root发送信息, 但是一般用户设置mesg,root还是能将信息发送给一般用户;
wall:系统对所有使用发送简讯
3.使用者mail(使用者未在线)
每个使用者都有mailbox,采用:mail -s “信息” 用户< filename 来传输内容
收信时使用者直接mail即可