pamの設定各種
概要
- pluggable authentication modules
- デフォルトで入っている
設定ファイル/etc/pam.d/<name>
書式
<module-type> <control> <module-path> <arg>
設定項目
module-type
auth- ユーザ認証
account- ユーザが有効か確認
password- パスワードの設定と変更
session- ユーザ認証の前に実行すべき処理
control
- 概要
- 成功、失敗したときにどうするか
requisite- 実行に失敗したらすぐに認証を拒否
required- 失敗してもすぐに拒否しない
- どこで失敗したか隠せるのでrequisiteより安全性が高い
sufficient- 上位のrequiredが成功していれば、認証を成功とする
optionalinclude- 外部ファイルを読み込む
substack- 外部ファイルを読み込む。認証の成否はこのファイル内で完結する
主なpamモジュール
pam_cracklib.so- パスワードの安全性
pam_env.so- ログイン時の環境変数
pam_deny.so- 常に失敗を返す
pam_limits.so- ユーザのリソースを制限する
pam_listfile.so- ファイルの内容に基づき、許可または拒否
pam_motd.so- motdファイルをログイン後に表示
pam_nologin.so/etc/nologinがあるとき一般ユーザのログインを拒否
pam_pwdb.so- ユーザ認証とパスワードの変更
pam_rootok.so- rootなら許可
pam_securetty.so/etc/security/に記された端末からのみrootログインを許可
pam_sss.so- SSSDで認証
pam_stack.so- 他のPAM設定のインクルード
pam_succeed_if.so- アカウント属性をチェックしてサービスを許可
pam_unix.so- パスワード認証
pam_wheel.so- 特定のwheelのみrootログインを許可する
SSSD
概要
- 認証情報がldapなど外部にある時参照するようにするサービス
具体例
default-lease-time 600;
max-lease-time 7200;
ddns-update-style none;
option domain-name-servers 8.8.8.8, 8.8.8.4;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.10.255;
subnet 192.168.10.0 netmask 255.255.255.0 {
range 192.168.10.20 192.168.10.250;
option routers 192.168.10.1;
}