交付时提供的 PAM 配置实施的标准安全策略涵盖了需要验证的系统服务(例如,login 和 ssh)。如果需要为部分系统服务实施不同的安全策略或需要为第三方应用程序创建策略,请考虑以下问题:
确定所提供的配置文件不满足要求。
测试缺省配置。测试 /etc/security/pam_policy 目录中基于用户的文件。测试缺省服务名称 other 是否能够满足要求。PAM 栈示例完整介绍了 other 栈。
识别栈需要修改的任何服务名称。有关修改服务名称的 PAM 栈的示例,请参见如何创建特定于站点的 PAM 配置文件。
对于通过编码方式使用 PAM 框架的任何第三方应用程序,请确定该应用程序所使用的 PAM 服务名称。
对于每个服务名称,请确定要使用的 PAM 模块。
有关 PAM 模块的信息,请查看手册页的第 5 部分。这些手册页介绍每个模块的工作方式、可用的选项以及堆叠模块之间的交互。有关所选模块的简要说明,请参见PAM 服务模块。PAM 模块还可以从外部资源获取。
基于服务名称确定模块的运行顺序。
选择每个模块的控制标志。有关控制标志的更多信息,请参见PAM 栈。请注意,控制标志可能会有安全隐患。
有关直观图示,请参见Figure 1–2 和Figure 1–3。
选择每个模块必需的选项。每个模块的手册页列出了可用于该模块的选项。
使用 PAM 配置测试应用程序使用情况。分别以 root 角色、其他角色、特权用户和一般用户进行测试。如果部分用户无权使用应用程序,则对这些用户进行测试。