PAM安全认证

1、切换用户  su 命令 (Substitute User)

格式:su [-] 用户名 (有 “ - ” 初始化环境变量,无 “ - ” 环境变量不改变)

2、查看su操作记录

安全日志文件:/var/log/secure

示例:tac /var/log/secure | less

3、提升权限 sudo 命令

(1)作用:以其他用户身份(默认root身份)执行授权的命令

(2)用法:

        sudo 授权命令

        默认设置为首次执行时,需输入当前用户的登录密码,5分钟内再次执行 sudo 命令时则无需再输入密码

(3)配置 sudo 授权

     ● 方法一:添加单个用户的 sudo 授权

visudo 或者 vi /etc/sudoers(效果相同),添加配置内容

格式:用户 主机名列表=命令程序列表,命令前加 “ !” 表示 “ 除了 ” 此命令

     ● 方法二:批量授权

wheel 组   (将希望提权的用户加入wheel组)

别名

根据示例以及实际需求,设置别名。(建议先复制行,在粘贴修改)

设置别名后,添加格式后:用户别名   主机别名=命令别名(所有别名均大写)

(4)查看 sudo 操作记录

    ● 方法:

           第一步:visudo 或者 vi /etc/sudoers 添加  “ Defaults logfile=/var/log/sudo ”

           第二步:cat /var/log/sudo

(5)查询授权操作   sudo -l

概述
Linux-PAM(linux可插拔认证模块):一种高效并且灵活便利的用户级别认证方式,是当前linux服务器普遍使用的认证方式。提供对所有服务进行认证的*机制,适用于login,远程登录(telnet、ftp等)、su等应用程序。(关于概念大家可以进行百度百科很权威)

Linux系统认证请求的过程一般为(给他家做张图):

pam.d文件夹内容
看下pam构成

第一列为认证的类型

auth:认证管理,接收用户名密码等信息,认证该密码是否正确

account:账户管理,检查账户是否被禁用、是否允许登录系统、是否过期、是否有限制等

session:会话管理,在用户登录前和用户退出后的会话进行管理和记账

password:密码管理,主要用来修改用户的密码

第二列为控制类型

required:验证失败时仍然继续,但返回fail

requisite:验证失败时则立即结束整个验证过程,返回fail

sufficient:验证成功则立即返回,不再继续,否则忽略结果则继续验证

optional:不用于验证,只是显示信息(通常用于session会话类型)

include:不进行认证,转到后面PAM模块进行认证



上一篇:linux – 如何在第一次使用ssh登录时强制用户更改密码?


下一篇:linux的ftp服务之本地访问浏览与虚拟账户