pam_env.so模块配置解析

于 2025-06-10 15:49:38 发布
阅读量231 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: PAM 文章标签: 网络 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53389944/article/details/148562239

在PAM(Pluggable Authentication Modules)配置中, /etc/pam.d/su 文件相关配置含义如下:

配置解析

auth            required        pam_env.so
1. 字段分解
字段说明
模块类型auth认证类模块,负责验证用户身份(如密码、令牌等)。
控制标志required表示该模块必须成功通过,若失败最终会拒绝请求(但会继续执行后续模块)。
模块名称pam_env.soPAM环境变量模块,用于设置或清理用户会话的环境变量。
2. 模块功能
  • pam_env.so 的作用:
    • 默认会加载 /etc/security/pam_env.conf 或用户家目录的 ~/.pam_environment 文件。
    • 根据配置设置环境变量(如 PATHLANG 等)。
    • 在此上下文中,可能用于为 su 切换用户时初始化环境变量。
3. 控制标志 required 的含义
  • 如果此模块执行失败:
    • 不会立即终止认证流程,会继续执行后续模块。
    • 最终认证结果会失败(因为 required 的失败是必须记录的)。

典型应用场景

  1. 环境变量继承
    su 切换用户时,确保目标用户继承必要的环境变量(如 PATHHOME)。

  2. 安全隔离
    通过 /etc/security/pam_env.conf 可以限制某些变量的传递(如清理敏感环境变量)。

配置文件示例

查看 /etc/security/pam_env.conf 的默认内容:

cat /etc/security/pam_env.conf

可能包含如下配置:

PATH          DEFAULT=/usr/local/bin:/usr/bin:/bin
LANG          DEFAULT=en_US.UTF-8

调试方法

  1. 检查模块是否加载成功:
    grep pam_env.so /etc/pam.d/su -A1
  2. 查看环境变量是否生效:
    su - username -c "env"

安全建议

  • 谨慎配置环境变量:避免在 pam_env.conf 中暴露敏感信息(如密码)。
  • 日志监控:结合 pam_log.so 记录认证过程(如失败尝试)。

如果需要进一步分析其他PAM配置或具体问题,请提供更多上下文!

【银河麒麟服务器系统】麒麟V10系统pam文件解析_麒麟 v10 开启 pam 日志
小铭同学的博客,持续更新linux操作系统相关技能实践
06-09 682
Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制。应用程序只需调用API就可方便的使用PAM提供的各种认证功能,而无需了解底层的实现。这种方式下,就算升级本地认证机制,也不用修改程序。像我们使用su命令时,系统会提示你输入root用户的密码,这就是su命令通过调用PAM模块实现的。PAM模块结合管理类型说明auth。
【QNX+Android虚拟化方案】22 - mifs.build.tmpl 脚本详解:启动 QNX 微内核、启动 QNX 串口终端shell、加载解析并执行ifs2_la.img、启动安卓
|~~~热爱生活、努力学习的小伙汁~~~|
08-20 1935
【QNX+Android虚拟化方案】22 - mifs.build.tmpl 脚本详解:启动 QNX 微内核、启动 QNX 串口终端shell、加载解析并执行ifs2_la.img、启动安卓
pam_env.so
weixin_34150503的博客
11-28 634
OS version:Red Hat Enterprise Linux Server release 6.4Kernel version:2.6.32-358.el6.x86_64-------------------------------------------------------------------------准备工作:[root@Zhai ~]# env | ...
Ubuntu 环境变量设置
Deng
02-02 2713
先上结论,修改环境变量建议以在/etc/profile.d/中新增*.sh的方式修改。 不推荐以下方式修改环境变量 不推荐修改 /etc/profile 不推荐修改 /etc/environment 不推荐修改 /etc/.profile 不推荐修改 ~/.bashrc,~/.bash_profile 可以修改 ~/.profile
CentOS-CentOS原始/etc/pam.d/system-auth文件内容
centerschool的博客
06-29 1万+
auth        required      pam_env.so        //登录后的环境变量。required表示一个错误则全返回错误,只不过最后返回错误 auth        sufficient    pam_fprintd.so     //指纹认证。sufficient表示如果该模块执行成功则跳过其他所有模块返回结果。 auth        sufficient  
Linux环境变量配置的三个方法--/etc/profile,~/.bashrc,shell
弹指天下
03-22 1万+
【环境配置的原因】 在windows系统下,很多软件的安装都需要设置环境变量,比如安装JAVA JDK。如果不安装环境变量,在非软件安装的目录下运行javac命令,将会报告“找不到文件”类似的错误。那么,什么是环境变量呢?简要的说,就是指定一个目录,运行软件的时候,相关的程序将会按照该目录寻找相关文件。设置变量对于一般人最实用的功能就是:不用拷贝某些dll文件到系统目录中了,而path这一系统变
百胜命令和配置文件分析
slow110的博客
12-27 309
一、配置文件与作用域: 1、系统级别: /etc/environment:在登录时操作系统使用的文件,系统在读取profile前,设置环境文件的环境变量。 /etc/profile:此文件为系统的每个用户设置环境信息,当用户第一次登录时,该文件被执行。并从/etc/profile.d目录的配置文件中搜集shell的设置。设定的变量(全局)的可以作用于任何用户。 /etc/bashrc:为每一个运行bash shell的用户执行此文件。当bash shell被打开时,该文件被读取。(一般这个文件是在调
深入解析 Linux PAM 认证机制与 /etc/pam.d/ 目录配置以及 pam_sshd 后门
最新发布
vortex5的博客
02-14 1190
PAM(可插拔认证模块)是一个模块化的认证框架,它的目的是将系统的认证任务与具体的认证方法解耦。也就是说,PAM 允许系统管理员根据不同的需求,选择不同的认证模块(例如:密码认证、指纹识别、智能卡、单点登录等),并通过配置这些模块来完成用户的身份验证。通过 PAM,系统管理员不仅可以灵活地选择不同的认证方法,还能根据安全需求对这些认证方法进行调整和优化。目录是 Linux 系统中与 PAM 框架相关的重要配置目录,存放了各个服务和应用程序的认证配置文件。
/etc/authselect/custom/user-profile/system-auth内容详解
weixin_53389944的博客
04-28 1511
以下为系统PAM默认配置。/etc/authselect/custom/user-profile/system-auth文件为。
linux用户权限管理(2)----如何限制用户访问终端?
wdwangye的博客
05-25 1391
PAM可插拔身份额认证模块 简介: Linux-PAM(Pluggable Authentication Modules for Linux.基于Linux的插入式验证模块)是一组共享库,使用这些模块,系统管理者可以自由选择应用程序使用的验证机制。也就是说,勿需重新编译应用程序就可以切换应用程序使用的验证机制。甚至,不必触动应用程序就可以完全升级系统使用的验证机制。 主要作用于管理工具和相关命令 配置文件 PAM包含了一组动态可加载库模块,这些模块控制单个应用程序如何验证用户 通过修改PAM配置文件,为
centos so查看_等保测评主机安全:CentOS密码修改周期与登录失败处理
weixin_39827850的博客
11-19 578
本文和等保联系不是很密切,还是说一了些linux里细节一些的东西,所以有可能会浪费你生命中的好几分钟,同时我使用的是centos6。一、密码修改周期策略首先贴上我的上一篇文章,和本篇有些关联,大家有兴趣可以去看一看:等保测评主机安全之centos之密码长度。在《等级测评师初级教程》里说/etc/login.defs是登录程序的配置文件,同时说:由于该文件里的配置对root用户无效,如果/...
Linux PAM认证
leizhongren02的专栏
07-21 1032
第二十章  PAM 認 證 模 組 索引: 20.1 認識 PAM   20.1.1 PAM 的簡介   20.1.2 PAM 的相關檔案 20.2 PAM 模組設定檔   20.2.1 PAM 模組設定檔的設定格式   20.2.2 PAM 認證模組的功能 20.3 PAM 的設定範例
linux 新建用户配置文件 /etc/login.defs 简介
热门推荐
whatday的专栏
05-08 1万+
/etc/login.defs 是设置用户帐号限制的文件。该文件里的配置对root用户无效。/etc/login.defs 文件用于在Linux创建用户时,对用户的一些基本属性做默认设置,例如指定用户 UID 和 GID 的范围,用户的过期时间,密码的最大长度,等等。 需要注意的是,该文件的用户默认配置对 root 用户无效。并且,当此文件中的配置与 /etc/passwd 和 /etc/...
服务器操作系统口令,账户口令 - 华为欧拉服务器操作系统软件 V2.0 安全说明手册 03 - 华为...
weixin_34665990的博客
08-09 1346
实现口令复杂度的设置通过修改/etc/pam.d/password-auth和/etc/pam.d/system-auth文件实现,配置如下:#%PAM-1.0# User changes will be destroyed the next time authconfig is run.auth required pam_env.soauth require...
Linux 环境变量扫盲篇
xyz的专栏
05-17 477
在学习Linux的环境变量之前,先上2张windows下面的图对比分析下 5W分解学习: What (环境变量基本定义) 什么是环境变量? 环境变量是否和windows一样也区分系统级别环境变量和用户级环境变量? 环境变量的读取是否会有优先级的区分或者存储覆盖关系? 环境变量的设置是否会有一些安全或者隐私上的隐患? 默认的环境变量里的值都是什么意思,是否还有其他的取值范围? 能操作环境变量的软件都有哪些?set,declare,export why (和目的相关) 为什么要...
java设置一个全局常量_环境变量 – 我在哪里可以设置全局Java选项?
weixin_33670167的博客
02-25 550
我在Java程序中有可怕的,不正确渲染的字体,如jabref和rubymine.这可以通过运行来修复_JAVA_OPTIONS='-Dawt.useSystemAAFontSettings=on' jabref我知道我可以将这些Java选项导出为环境变量,并从命令行启动程序.但是,有没有办法在全局设置这些选项,以便所有Java程序都能识别它们,无论它们是如何启动的?我也知道我可以修改我的Java程...
常用的Linux可插拔认证模块PAM)应用举例(二)
cgm88s的专栏
09-02 2462
本文紧接《常用的Linux可插拔认证模块PAM)应用举例(一)》,继续介绍其他常用的Linux可插拔认证模块PAM)。 pam_tally.so模块 pam_tally.so模块也是在系统中经常使用的一个pam模块。其主要作用是监控用户的不成功登录尝试的次数,在达到模块限制的次数时会锁定用户一段时间以防止一些黑客软件的暴力破解。 pam_tally.so模块的使用方法和刚才一
linux的几个初始化配置文件
qq_40369829的博客
04-12 1927
初始化文件 全局配置 /etc/profile /etc/bashrc /etc/environment 个人配置 ~/.profile ~/.bashrc ~/.bash_profile ~./bash_login ~/.bash_logout ~/.pam_environment 初始化顺序 注意 参考 初始化文件 全局配置 /etc/profi...
启用pam_passwdqc.so模块
09-07
PAM(Pluggable Authentication Modules)是一套提供程序认证服务的API和一个库,用于Linux等类Unix系统中,可以对用户进行身份验证。pam_passwdqc.soPAM的密码质量控制模块,用于增强系统的密码安全策略。启用pam_passwdqc.so模块可以对用户设置密码时进行一些规则的校验,例如密码长度、密码复杂度等,以防止用户设置过于简单的密码。 启用pam_passwdqc.so模块通常涉及修改PAM配置文件,具体步骤如下: 1. 打开或创建 `/etc/pam.d/common-password` 文件(在某些系统中可能是 `/etc/pam.d/password-auth` 或 `/etc/pam.d/system-auth`,具体取决于系统的PAM配置)。使用文本编辑器以root权限进行编辑。 2. 找到与密码修改相关的行(通常包含 `password` 关键字),并确保文件中包含如下配置行: ``` password requisite pam_passwdqc.so min=disabled,disabled,disabled,8,12 ``` 这行配置的意思是: - `requisite` 表示如果后续的PAM模块因为密码弱而拒绝,那么这个模块也会拒绝。 - `pam_passwdqc.so` 是调用的模块。 - `min=disabled,disabled,disabled,8,12` 是模块的参数,其中每个数字代表密码的最小复杂度要求。第一项表示至少需要8个字符长度的密码,第二项表示密码需要包含至少两个不同的字符类别(例如数字、小写字母、大写字母、特殊字符)。 3. 根据系统和安全策略的需要调整参数。例如,如果系统要求更复杂的密码,可以增加最小长度或字符种类的要求。 4. 保存文件并关闭编辑器。 5. (可选)测试配置是否正确。可以通过 `pamtester` 工具或者使用 `passwd` 命令修改一个用户的密码来测试新设置是否生效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值