在Linux系統(tǒng)中，用戶認證是確保系統(tǒng)安全的關(guān)鍵步驟。PAM（可插拔認證模塊）為我們提供了一個非常靈活的框架，幫助我們管理各種服務(wù)的認證過程。其中，/etc/pam.d目錄是PAM配置的核心部分，這里存放了每個服務(wù)所需的認證規(guī)則文件。在這篇文章里，我們將一起探索 /etc/pam.d的重要性，并學(xué)習(xí)如何通過調(diào)整這些文件來進一步增強系統(tǒng)的安全性。

一、什么是PAM？

PAM是一種模塊化的認證機制，允許管理員自定義系統(tǒng)和服務(wù)的認證流程。PAM的設(shè)計特點包括：

• 靈活性： 各種認證功能通過模塊實現(xiàn)，可以按需啟用或禁用。
• 模塊化： 不同服務(wù)可以共享通用模塊，減少重復(fù)配置。
• 安全性： 支持多種安全策略，例如密碼復(fù)雜性、多因素認證等。

二、/etc/pam.d的作用

/etc/pam.d目錄存放了PAM 的配置文件，每個文件對應(yīng)一個服務(wù)或程序，例如 sshd、sudo、login 等。這些文件定義了服務(wù)的認證規(guī)則，包括密碼驗證、賬戶檢查、會話管理等內(nèi)容。

常見文件和用途：

如下圖是Ubuntu 20.04的/etc/pam.d目錄下的文件：

三、PAM配置文件結(jié)構(gòu)

每個 /etc/pam.d 配置文件由多行規(guī)則組成，格式如下：

模塊類型  控制標志  模塊路徑  模塊參數(shù)

1. 字段解釋

(1) 模塊類型

• auth：認證規(guī)則，如密碼驗證。
• account：賬戶管理規(guī)則，如賬戶鎖定檢查。
• password：密碼管理規(guī)則，如密碼復(fù)雜性要求。
• session：會話管理規(guī)則，如資源限制或登錄記錄。

(2) 控制標志

• required：必須成功，失敗不會立即終止，但最終結(jié)果會失敗。
• requisite：必須成功，失敗會立即終止認證。
• sufficient：成功則認證通過，后續(xù)模塊不再執(zhí)行。
• optional：成功或失敗對整體認證無影響。

(3) 模塊路徑 通常為 /lib/security/ 或 /usr/lib/security/ 下的PAM模塊文件。

(4) 模塊參數(shù) 用于定義模塊的具體行為。

2. 示例配置：/etc/pam.d/sshd

以下是一個典型的 sshd 配置文件：

auth       required     pam_env.so
auth       required     pam_unix.so
auth       required     pam_tally2.so deny=5 unlock_time=300
account    required     pam_unix.so
password   required     pam_unix.so
session    required     pam_limits.so
session    optional     pam_motd.so
session    required     pam_unix.so

配置解讀：

• pam_env.so：加載用戶環(huán)境變量。
• pam_unix.so：使用傳統(tǒng)的UNIX密碼驗證。
• pam_tally2.so：限制登錄失敗次數(shù)（如連續(xù) 5 次失敗鎖定賬戶5分鐘）。
• pam_limits.so：加載系統(tǒng)資源限制。
• pam_motd.so：顯示登錄時的消息。

四、如何增強系統(tǒng)安全性？

通過合理配置 /etc/pam.d 文件，可以顯著提升系統(tǒng)安全性。以下是一些推薦的實踐：

1. 限制登錄失敗次數(shù)

使用 pam_tally2 模塊限制登錄失敗次數(shù)，防止暴力破解。

auth required pam_tally2.so deny=5 unlock_time=300

• deny=5：連續(xù)失敗5次后鎖定賬戶。
• unlock_time=300：5分鐘后自動解鎖。

2. 強制密碼復(fù)雜性

使用 pam_pwquality 模塊強制密碼復(fù)雜性要求。

password requisite pam_pwquality.so retry=3 minlen=12 difok=4

• retry=3：用戶有3次機會輸入合格密碼。
• minlen=12：密碼至少12個字符。
• difok=4：新密碼與舊密碼至少有4個字符不同。

還有一些其他比較少用的參數(shù)：

• dcredit=N：定義用戶密碼中必須包含多少個數(shù)字；
• ucredit=N：定義用戶密碼中必須包含多少個大寫字母；
• lcredit=N：定義用戶密碼中必須包含多少個小些字母；
• ocredit=N：定義用戶密碼中必須包含多少個特殊字符（除數(shù)字、字母之外）

3. 限制資源使用

通過 pam_limits.so 限制用戶的系統(tǒng)資源使用，防止資源濫用。

session required pam_limits.so

結(jié)合 /etc/security/limits.conf 文件，可以配置用戶的最大文件數(shù)、進程數(shù)等。

4. 顯示警告信息

通過 pam_motd.so 顯示登錄警告或公告信息。

session optional pam_motd.so

將警告信息寫入/etc/motd，如：

Unauthorized access is prohibited.

五、排查 PAM 配置問題

錯誤的PAM配置可能導(dǎo)致用戶無法登錄或服務(wù)異常。以下是一些排查建議：

• 檢查日志文件PAM的錯誤信息會記錄在 /var/log/auth.log 或 /var/log/secure中。

tail -f /var/log/auth.log

• 使用調(diào)試模式 某些服務(wù)支持調(diào)試模式，可以輸出詳細的 PAM 調(diào)用信息。例如：

sshd -ddd

• 備份配置文件 在修改 /etc/pam.d 文件之前，務(wù)必先備份原始文件。

cp /etc/pam.d/sshd /etc/pam.d/sshd.bak

六、總結(jié)

/etc/pam.d 是Linux系統(tǒng)認證的核心，通過合理配置這些文件，可以有效提升系統(tǒng)的安全性和可控性。從限制登錄失敗次數(shù)到強制密碼復(fù)雜性，PAM提供了豐富的功能來保護系統(tǒng)。希望本文能幫助你掌握 /etc/pam.d 的配置技巧，為你的Linux系統(tǒng)打造更加堅固的安全防線！