auth        required      pam_env.so        //登入後的環境變數。required表示一個錯誤則全返回錯誤，只不過最後返回錯誤

auth        sufficient    pam_fprintd.so     //指紋認證。sufficient表示如果該模組執行成功則跳過其他所有模組返回結果。

auth        sufficient    pam_unix.so nullok try_first_pass //驗證使用者密碼的有效性。如果使用nullok引數，使用者不輸入密碼就可以獲得系統提供的服務。同時，也允許使用者密碼為空時更改使用者密碼。try_first_pass嘗試在提示使用者輸入密碼前，使用前面一個堆疊的auth模組提供的密碼認證使用者。sufficient表示如果該模組執行成功則跳過其他所有模組返回結果。

auth        requisite     pam_succeed_if.so uid >= 500 quiet //允許uid大於500的使用者在通過密碼驗證的情況下登入。requisite表示執行錯誤則立即返回

auth        required      pam_deny.so     //對所有不滿足上述任意條件的登入請求直接拒絕。required表示一個錯誤則全返回錯誤，只不過最後返回錯誤

account     required      pam_unix.so //主要執行建立使用者帳號和密碼狀態的任務，然後執行提示使用者修改密碼，使用者採用新密碼後才提供服務之類的任務。required表示一個錯誤則全返回錯誤，只不過最後返回錯誤

account     sufficient    pam_localuser.so //要求將使用者列於 /etc/passwd 中。sufficient表示如果該模組執行成功則跳過其他所有模組返回結果。

account     sufficient    pam_succeed_if.so uid < 500 quiet    //對使用者的登入條件做一些限制，表示允許uid大於500的使用者在通過密碼驗證的情況下登入。sufficient表示如果該模組執行成功則跳過其他所有模組返回結果。

account     required      pam_permit.so   //required表示一個錯誤則全返回錯誤，只不過最後返回錯誤

password    requisite     pam_cracklib.so try_first_pass retry=3type=    //對使用者密碼提供強健性檢測。requisite表示執行錯誤則立即返回

password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok //讓使用者更改密碼的任務。sufficient表示如果該模組執行成功則跳過其他所有模組返回結果。

password    required      pam_deny.so    //對所有不滿足上述任意條件的登入請求直接拒絕。required表示一個錯誤則全返回錯誤

session     optional      pam_keyinit.so revoke  //表示當用戶登入的時候為其建立相應的金鑰環，並在使用者登出的時候予以撤銷。optional表示即便該行所涉及的模組驗證失敗使用者仍能通過認證

session     required      pam_limits.so     //限制使用者登入時的會話連線資源，相關pam_limit.so配置檔案是/etc/security/limits.conf，預設情況下對每個登入使用者都沒有限制。required表示一個錯誤則全返回錯誤，只不過最後返回錯誤

session     [success=1 default=ignore]pam_succeed_if.so service in crond quiet use_uid   //success=1時執行本行。default=ignore用來設定上面的返回值是無法達的行為時，那麼這個模組的返回值將被忽略，不會被應用程式知道。對使用者的登入條件做一些限制