4.3. 示例配置文件条目
在本节中,我们提供一些示例示例,这些示例可以出现在* Linux-PAM *配置文件中。作为首次配置系统的尝试,您可能会比实现这些功能做得更糟。
如果系统被认为是安全的,则最好具有一个合理安全的“ 其他”条目。以下是偏执的设置(这不是开始的好地方!):
#
# default; deny access
#
other auth required pam_deny.so
other account required pam_deny.so
other password required pam_deny.so
other session required pam_deny.so
虽然从根本上说是安全的默认设置,但这对配置错误的系统不是很同情。例如,如果文件的其余部分写入不良,则这样的系统很容易将所有人锁定。
pam_deny 模块(在later section中记录)不是很复杂。例如,它在调用时不记录任何信息,因此,除非系统用户在执行服务应用程序失败时与 Management 员联系,否则 Management 员可能会走很长时间,而忽略了其系统配置错误的事实。
在上述示例中的以下行之前添加以下行会向 Management 员提供适当的警告。
#
# default; wake up! This application is not configured
#
other auth required pam_warn.so
other password required pam_warn.so
具有两条' other auth '行是堆叠的示例。
在使用/etc/pam.d/
配置的系统上,将使用以下文件来实现相应的默认设置:
#
# default configuration: /etc/pam.d/other
#
auth required pam_warn.so
auth required pam_deny.so
account required pam_deny.so
password required pam_warn.so
password required pam_deny.so
session required pam_deny.so
这是我们提供的/etc/pam.d/
文件的唯一明确示例。通常,应该清楚如何将其余示例转换为该配置方案。
在不太敏感的计算机上,系统 Management 员希望对这台计算机不了解* Linux-PAM *的强大功能,以下选择的行(在/etc/pam.d/other
中)很可能模仿了历史上熟悉的 Linux 设置。
#
# default; standard UN*X access
#
auth required pam_unix.so
account required pam_unix.so
password required pam_unix.so
session required pam_unix.so
通常,这将为大多数应用程序提供起点。