如何配置PAM模块 认证流程

pam认证流程的配置需先明确四类模块和控制标志的作用，1. auth负责身份验证，2. account检查账户状态，3. password管理密码策略，4. session处理会话操作，每类模块按配置文件中定义的顺序执行，控制标志required、requisite、sufficient和optional决定模块失败或成功时的流程走向，实际配置中常通过include引入common-*文件以提高可维护性，例如auth include common-auth，典型应用如sshd服务依次执行密码验证、账户检查、密码策略和会话建立，启用登录失败锁定可通过pam_tally2.so设置deny和unlock_time参数，配置时应备份原文件、逐步测试、避免滥用sufficient标志，并结合/var/log/auth.log排查问题，最终实现灵活且安全的认证控制。

配置PAM（Pluggable Authentication Modules，可插拔认证模块）是Linux系统中管理用户认证的重要方式。它允许系统管理员灵活地控制登录、sudo、ssh等服务的认证流程，而无需修改应用程序本身。下面介绍如何理解和配置PAM模块的认证流程。

---

一、PAM 认证流程的基本结构

PAM通过配置文件定义认证流程，这些文件通常位于

/etc/pam.d/

目录下，每个服务（如

sshd

、

login

、

sudo

）都有一个独立的配置文件。

PAM 的认证流程由四类模块控制：

1. auth：负责用户身份验证（如密码验证、双因素认证）。
2. account：检查账户状态（是否过期、是否允许登录时间等）。
3. password：管理密码更新策略（如强度检查、过期提醒）。
4. session：在用户登录前后执行操作（如记录日志、挂载家目录）。

每一行配置代表一个模块调用，格式如下：

类型  控制标志  模块路径  模块参数

例如：

auth    required    pam_unix.so

---

二、控制标志（Control Flags）的作用

控制标志决定当模块执行成功或失败时，PAM如何继续处理后续模块。常见值包括：

• required：必须成功，但失败不会立即返回，继续执行后续模块，最终整体失败。
• requisite：必须成功，一旦失败立即返回，不执行后续模块。
• sufficient：如果成功且前面没有requisite失败，则直接返回成功，不再执行后续模块；失败则继续。
• optional：通常用于session或非关键检查，结果一般不影响整体认证。
• include：包含另一个服务的配置（如

  include common-auth

  ）。

实际配置中常用 include 来复用通用配置，如 Debian/Ubuntu 系统中的 common-auth、common-account 等文件。

---

三、典型配置示例与流程分析

以

/etc/pam.d/sshd

为例：

# 验证用户身份
auth    required    pam_unix.so
auth    optional    pam_ssh.so

# 检查账户有效性
account required    pam_unix.so
account required    pam_access.so

# 密码策略（在修改密码时起作用）
password  required    pam_unix.so

# 会话管理
session   required    pam_unix.so
session   optional    pam_systemd.so

认证流程执行顺序如下：

1. auth 阶段：

   • 先调用

     pam_unix.so

     验证密码，必须成功。
   • 再调用

     pam_ssh.so

     （如适用），失败也无妨。

2. account 阶段：

   • 检查用户是否被锁定、是否在允许登录的时间段内。

   • pam_access.so

     可基于

     /etc/security/access.conf

     控制登录来源。

3. password 阶段：

   • 修改密码时触发，确保符合复杂度要求。

4. session 阶段：

   • 登录成功后建立会话，比如记录

     wtmp

     日志、启动 systemd 用户实例。

---

四、常用PAM模块及其用途

模块	用途
@@######@@	标准的用户名/密码认证，基于 @@######@@ 和 @@######@@
@@######@@	SSH密钥认证支持
@@######@@	通过LDAP进行集中认证
@@######@@	Google两步验证（TOTP）
@@######@@ 或 @@######@@	登录失败次数限制
@@######@@	基于规则控制谁可以从哪里登录
@@######@@	用户首次登录时自动创建家目录

例如，启用自动创建家目录：

pam_unix.so

---

五、配置建议与注意事项

• 备份原始配置：修改前备份

  /etc/passwd

  下的文件，避免锁死自己。
• 逐步测试：每次只改一处，用测试账户验证，避免影响生产登录。
• 避免滥用 sufficient：容易绕过安全检查，例如错误配置可能导致仅用SSH密钥就跳过密码。
• 日志排查：查看

  /etc/shadow

  或

  pam_ssh.so

  排错。
• 使用 include 提高可维护性：大多数发行版使用

  pam_ldap.so

  文件统一管理。

例如，在

pam_google_authenticator.so

中常见写法：

pam_tally2.so

然后在

pam_faillock.so

中统一配置密码认证策略。

---

六、启用登录失败锁定示例（以 pam_tally2 为例）

编辑

pam_access.so

（Ubuntu/Debian）：

pam_mkhomedir.so

这表示：连续失败3次后锁定账户10分钟。

查看失败次数：

session required pam_mkhomedir.so skel=/etc/skel umask=077

手动解锁：

/etc/pam.d/

---

基本上就这些。PAM的核心是“模块化+流程控制”，理解四类模块和控制标志后，就能根据安全需求定制认证流程。虽然配置灵活，但改错可能导致无法登录，务必谨慎操作。

/var/log/auth.log

journalctl

common-*

/etc/pam.d/sshd

auth      include common-auth
account   include common-account
password  include common-password
session   include common-session

common-auth

/etc/pam.d/common-auth

auth  required  pam_tally2.so deny=3 unlock_time=600

pam_tally2 --user=username

pam_tally2 --user=username --reset