PAM（任务）

本节介绍使 PAM 框架使用特定安全策略所需执行的一些任务。应注意与 PAM 配置文件关联的某些安全问题。有关安全问题的信息，请参见规划 PAM 实现。

PAM（任务列表）

规划 PAM 实现

所提供的 pam.conf 配置文件可实现标准安全策略。此策略应适用于许多情况。如果需要实现其他安全策略，则应关注以下问题：

• 确定您的需求，特别是应选择的 PAM 服务模块。

• 确定需要特殊配置选项的服务。使用 other（如果适用）。

• 决定模块的运行顺序。

• 选择每个模块的控制标志。有关所有控制标志的更多信息，请参见PAM 堆栈工作原理。

• 选择每个模块必需的所有选项。每个模块的手册页应列出所有特殊选项。

以下是更改 PAM 配置文件之前要考虑的一些建议：

• 对每种模块类型使用 other 项，以便 /etc/pam.conf 中不必包括每个应用程序。

• 确保考虑 binding、sufficient 和 optional 控制标志所涉及的安全问题。

• 查阅与模块关联的手册页。这些手册页可帮助您了解每个模块的工作方式、可用的选项以及堆叠模块之间的交互。

  ---

  注意 - 如果 PAM 配置文件配置错误或者被损坏，则任何用户都可能无法登录。由于 sulogin 命令不使用 PAM，因此，需要使用超级用户口令将计算机引导至单用户模式并修复问题。

  ---

  更改了 /etc/pam.conf 文件之后，在您仍具有系统访问权限的情况下，尽可能多地检查此文件以更正问题。对更改可能影响到的所有命令进行测试。例如，向 telnet 服务中添加新模块。在此示例中，将使用 telnet 命令并检验所做的更改是否使服务按预期方式运行。

如何添加 PAM 模块

此过程说明如何添加新的 PAM 模块。可以创建新模块以提供特定于站点的安全策略或支持第三方应用程序。

1. 成为管理员。

   有关更多信息，请参见如何获取管理权限。

2. 确定应使用的控制标志和其他选项。

   有关控制标志的信息，请参见PAM 堆栈工作原理。

3. 确保设置了所有权和权限，以便模块文件由 root 拥有，并且权限为 555。
4. 编辑 PAM 配置文件 /etc/pam.conf，并将此模块添加到相应的服务中。
5. 检验是否正确添加了该模块。

   必须在重新引导系统之前进行测试，以防此配置文件配置错误。在重新引导系统之前，使用直接服务（例如 ssh）登录，然后运行 su 命令。此服务可能是引导系统时仅产生一次的守护进程。因此，必须先重新引导系统，然后才能检验是否已添加模块。

如何使用 PAM 防止从远程系统进行 Rhost 样式的访问

1. 成为管理员。

   有关更多信息，请参见如何获取管理权限。

2. 从 PAM 配置文件中删除所有包含 rhosts_auth.so.1 的行。

   此步骤用于防止在 rlogin 会话期间读取 ~/.rhosts 文件。因此，此步骤可防止从远程系统对本地系统进行未经验证的访问。无论 ~/.rhosts 或 /etc/hosts.equiv 文件是否存在或包含什么内容，所有 rlogin 访问都要求提供口令。

3. 禁用 rsh 服务。

   要防止对 ~/.rhosts 文件进行其他未经验证的访问，请记住禁用 rsh 服务。

   # svcadm disable network/shell

如何记录 PAM 错误报告

1. 成为管理员。

   有关更多信息，请参见如何获取管理权限。

2. 配置 /etc/syslog.conf 文件以设置您需要的日志记录级别。

   有关日志记录级别的更多信息，请参见 syslog.conf(4)。

3. 刷新 syslog 守护进程的配置信息。

   # svcadm refresh system/system-log