pam_succeed_if 模块

xinxian.can

插入式验证模块（Pluggable Authentication Module，PAM）API 将公开一组功能，应用程序程序员可以使用这些功能来实现与安全性相关的功能，例如用户验证、数据加密、LDAP 等。
    PAM 的主要特征表现为通过 /etc/pam.d目录下面的文件中的设置体现的。
    系统中可支持的pam模块可以在/lib/security/中找到。
    pam_succeed_if可以对用户登陆做一些限制，如果满足pam_succeed_if所定义的条件，那么接受。这个模块没有配置文件。直接修改需要配置的模块就可以。
此模块的使用方式如下：
     pam_succeed_if.so [flag...] [condition...]
    其中flag可以是debug、use_uid、quiet、quiet_fail、quiet_success。其中quiet表示不记录日志信息，详见man。
    condition可以是如下格式
    field
    其中field可以是user, uid, gid, shell, home 或者 service，比如：
    uid
   下面是一个详细的例子
    auth        required      pam_succeed_if.so uid
    ## 注： 只能允许uid小于500的用户登陆到系统。
    在/etc/pam.d/system-auth和/etc/pam.d/kde文件中添加如上行，然后使用uid大于等于500的work用户登录系统，系统拒绝，root可以登录系统。从日志/var/log/secure中可以看到如下信息：
Jul  6 17:26:18 DC5 kdm: :0[5382]: pam_succeed_if: requirement "uid
    只在/etc/pam.d/system-auth文件中添加如下行，则只拒绝root用户，ssh登录、本地登录和su都是如此
auth        required      pam_succeed_if.so user != root
    从日志/var/log/secure中可以看到如下信息：
Jul  6 17:59:14 DC5 su: pam_succeed_if: requirement "user != root" not met by user "root"
Jul  6 17:59:35 DC5 sshd[5869]: pam_succeed_if: requirement "user != root" not met by user "root"
Jul  6 18:02:15 DC5 login: pam_succeed_if: requirement "user != root" not met by user "root"
    在此可以使用quiet参数，不记录日志到secure之中。具体参数见如下man文档：
               
               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/85323/showart_2059069.html