PAM安全认证

1、PAM概念

Linux-PAM，是linux可插拔认证模块，是一套可定制、 可动态加载的共享库，使本地系统管理员可以随意选择程序的认证方式。

2、配置文件位置

PAM使/etc/pam.d/下的配置文件，来管理对程序的认证方式

本地的认证模块，模块放置在/lib64/security下，以加载动态库的形式进行认证

3、PAM认证原理

PAM认证一般遵循的顺序: Service (服务) --> PAM (配置文件) --> pam_ *.so;
PAM认证首先要确定哪一项应用服务，然后加载相应的PAM的配置文件(位于/etc/pam.d下)，最后调用认证模块(位于/lib64/security/下)进行安全认证。
用户访问服务器的时候，服务器的某一个服务程序把用户的请求发送到PAM模块进行认证。

不同的应用程序所对应的PAM模块也是不同的。
如果想查看某个程序是否支持PAM 认证，可以用ls命令进行查看/etc/pam.d/
 

4、PAM认证过程

PAM的配置文件中的每一行都是一个独立的认证过程，它们按从上往下的顺序依次由PAM模块调用

第一列:PAM认证模块类型

auth: 对用户身份进行识别，如提示输入密码，判断是否为root。
account: 对账号各项属性进行检查，如是否允许登录系统，帐号是否已经过期，是否达到最大用户数等。
password: 使用用户信息来更新数据，如修改用户密码。
session:定义登录前以及退出后所要进行的会话操作管理，如登录连接信息，用户数据的打开和关闭，挂载文件系统。
 

第二列:PAM控制标记

required:表示需要返回一个成功值，如果返回失败，不会立刻将失败结果返回，而是继续进行同类型的下一验证，所有此类型的模块都执行完成后，再返回失败。
requisite:与required类似，但如果此模块返回失败，则立刻返回失败并表示此类型失败。
sufficient:如果此模块返回成功，则直接向程序返回成功，表示此类成功，如果失败，也不影响这类型的返回值。
optional: 不进行成功与否的返回，一般不用于验证，只是显示信息(通常用于session类型),
include:表示在验证过程中调用其他的PAM配置文件。比如很多应用通过完整调用/etc/pam.d/system-auth来实现认证而不需要重新逐一去写配置项。

第三列:PAM模块

默认是在/lib64/security/目录下，如果不在此默认路径下，要填写绝对路径。
同一个模块，可以出现在不同的模块类型中，它在不同的类型中所执行的操作都不相同，这是由于每个模块针对不同的模块类型编制了不同的执行函数。

第四列:PAM模块的参数

这个需要根据所使用的模块来添加。
传递给模块的参数。参数可以有多个，之间用空格分隔开
 

5、通过pam模块来防止暴力破解ssh

[root@localhost ~]# vim /etc/pam.d/sshd
在第一行下面添加一行：
auth    required    pam_tally2.so    deny=5    unlock_time=300 even_deny_root root_unlock_time=900
 
尝试登陆失败超过5次，普通用户300秒解锁，root用户900秒解锁
 
手动解除锁定：
例如，查看zs用户的错误登陆次数：
pam_tally2 --user zs
 
例如，清空 zs 用户的错误登陆次数，
pam_tally2 –-user zs --reset