CentOS-CentOS原始/etc/pam.d/system-auth檔案內容
auth required pam_env.so //登入後的環境變數。required表示一個錯誤則全返回錯誤,只不過最後返回錯誤
auth sufficient pam_fprintd.so //指紋認證。sufficient表示如果該模組執行成功則跳過其他所有模組返回結果。
auth sufficient pam_unix.so nullok try_first_pass //驗證使用者密碼的有效性。如果使用nullok引數,使用者不輸入密碼就可以獲得系統提供的服務。同時,也允許使用者密碼為空時更改使用者密碼。try_first_pass嘗試在提示使用者輸入密碼前,使用前面一個堆疊的auth模組提供的密碼認證使用者。sufficient表示如果該模組執行成功則跳過其他所有模組返回結果。
auth requisite pam_succeed_if.so uid >= 500 quiet //允許uid大於500的使用者在通過密碼驗證的情況下登入。requisite表示執行錯誤則立即返回
auth required pam_deny.so //對所有不滿足上述任意條件的登入請求直接拒絕。required表示一個錯誤則全返回錯誤,只不過最後返回錯誤
account required pam_unix.so //主要執行建立使用者帳號和密碼狀態的任務,然後執行提示使用者修改密碼,使用者採用新密碼後才提供服務之類的任務。required表示一個錯誤則全返回錯誤,只不過最後返回錯誤
account sufficient pam_localuser.so //要求將使用者列於 /etc/passwd 中。sufficient表示如果該模組執行成功則跳過其他所有模組返回結果。
account sufficient pam_succeed_if.so uid < 500 quiet //對使用者的登入條件做一些限制,表示允許uid大於500的使用者在通過密碼驗證的情況下登入。sufficient表示如果該模組執行成功則跳過其他所有模組返回結果。
account required pam_permit.so //required表示一個錯誤則全返回錯誤,只不過最後返回錯誤
password requisite pam_cracklib.so try_first_pass retry=3type= //對使用者密碼提供強健性檢測。requisite表示執行錯誤則立即返回
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok //讓使用者更改密碼的任務。sufficient表示如果該模組執行成功則跳過其他所有模組返回結果。
password required pam_deny.so //對所有不滿足上述任意條件的登入請求直接拒絕。required表示一個錯誤則全返回錯誤
session optional pam_keyinit.so revoke //表示當用戶登入的時候為其建立相應的金鑰環,並在使用者登出的時候予以撤銷。optional表示即便該行所涉及的模組驗證失敗使用者仍能通過認證
session required pam_limits.so //限制使用者登入時的會話連線資源,相關pam_limit.so配置檔案是/etc/security/limits.conf,預設情況下對每個登入使用者都沒有限制。required表示一個錯誤則全返回錯誤,只不過最後返回錯誤
session [success=1 default=ignore]pam_succeed_if.so service in crond quiet use_uid //success=1時執行本行。default=ignore用來設定上面的返回值是無法達的行為時,那麼這個模組的返回值將被忽略,不會被應用程式知道。對使用者的登入條件做一些限制
session required pam_unix.so //記錄使用者名稱和服務名到日誌檔案的工作,只不過最後返回錯誤