Linux Security: 第7章 - ユーザセキュリティ

| ← |

7.5 PAM(Pluggable Authentication Module) の解説

LPIC-2 対策(PAM)

/etc/pam.d/xxxx
タイプコントロールモジュール名 (引数…)

タイプ

解説
authユーザー認証(ユーザー名、パスワード、 ICカード等で本人確認)
account有効なユーザかを判定(有効期限、権限など)
passwordパスワードの変更と確認方法
sessionユーザー認証の前後に行う処理

コントロール

解説
requisiteモジュールがNGならば、即プロセスを中止し、認証失敗を返す。
requiredモジュールがNGなら、残りの同タイプを処理した後、失敗を返す。
sufficientモジュールがOKかつ、上記がOKならば成功を返す
optional同一タイプが1つのみ(自分自身)以外は、認証可否に影響を与えない。
include続くファイルの定義を読み込む

モジュール

個々の man page がない場合は、/usr/share/doc/pam-XXX/txts/ 下参照。
例) /usr/share/doc/pam-0.99.6.2/txts/README.pam_unix(抜粋): 
pam_unix comes as one module pam_unix.so.

The following links are left for compatibility with old versions:
pam_unix_auth:          authentication module providing
		pam_authenticate() and pam_setcred() hooks
pam_unix_sess:          session module, providing session logging
pam_unix_acct:          account management, providing shadow account
		managment features, password aging etc..
pam_unix_passwd:        password updating facilities providing
		cracklib password strength checking facilities.

The following options are recognized:
debug           -       log more debugging info
audit           -       a little more extreme than debug
use_first_pass  -       don't prompt the user for passwords
			take them from PAM_ items instead
try_first_pass  -       don't prompt the user for the passwords
			unless PAM_(OLD)AUTHTOK is unset
use_authtok     -       like try_first_pass, but * fail * if the new
			PAM_AUTHTOK has not been previously set.
			(intended for stacking password modules only)
not_set_pass    -       don't set the PAM_ items with the passwords
			used by this module.
shadow          -       try to maintian a shadow based system.
md5             -       when a user changes their password next,
			encrypt it with the md5 algorithm.
	: