所提供的 pam.conf 配置文件可实现标准的 Solaris 安全策略。此策略应适用于许多情况。如果需要实现其他安全策略,则应考虑以下问题:
确定需求,特别是应选择的 PAM 服务模块。
标识需要特殊配置选项的服务。使用 other(如果适用)。
决定运行模块的顺序。
选择每个模块的控制标志。有关所有控制标志的更多信息,请参见PAM 控制标志。
选择每个模块必需的所有选项。每个模块的手册页应列出所有的特殊选项。
以下是更改 PAM 配置文件之前要考虑的一些建议:
对每种模块类型使用 other 项,以便 /etc/pam.conf 中不必包括每个应用程序。
确保考虑 binding、sufficient 和 optional 控制标志所涉及的安全问题。
查看与模块关联的手册页。这些手册页有助于您了解每个模块的工作方式、可用的选项,以及堆叠模块之间的交互。
如果 PAM 配置文件配置错误或者被损坏,则可能没有用户能登录。由于 sulogin 命令不使用 PAM,因此,需要超级用户口令才能将计算机引导至单用户模式并修复问题。
更改 /etc/pam.conf 文件之后,在您仍具有系统访问权限的情况下,尽可能多地检查此文件以更正问题。对更改可能影响到的所有命令进行测试。例如,向 telnet 服务中添加新模块。在此示例中,将使用 telnet 命令并检验所做更改是否使服务按预期方式运行。