用PAM认证加强Linux服务器安全

　　7.限制root登录控制台

　　我们修改用/etc/pam.d/login来限制root登录控制台，打开login文件删除第二行中的#，取消对“auth required pam_securetty.so”的注销。然后我们本地登录服务器，通过测试我们发现当用required时，你在输入root及密码后，你得到了一个拒绝信息，用requisite时，当你输入root回车时同样会得到拒绝信息登录失败，这是由刚才的认证方式触发的。

　　8.PAM认证可选模块

　　在PAM认证中，sufficient表示如果认证成功，那么对这一类型的模块认证是充足的了，其他的同类模块将不会再检验，当认证失败，它会进行下一条认证，如果下面同类型的认证成功，结果依然成功。optional表示这一模块认证是可选的，也不会对认证成功或失败产生影响，这个就比较危险了。比如我们在/etc/pam.d/sshd文件内加入“auth required/lib/security/pam_listfile.so item=user sense=allow file=/etc/sshusers onerr=succeed”其含义是只允许出现在/etc/sshuser文件内的用户远程登录。然后我们执行命令“ssh -l root localhost”，当sshusers文件没有root用户时候，登录失败，很明显他被PAM模块拒绝了。那么我们改一下认证文件，将required改成sufficient，尝试再次登录，结果成功登录。

　　总结：PAM认证是Linux服务器系统最主要的安全认证模式，掌握PAM认证对于加强系统安全非常重要。本文结合理论与实践对PAM认证做了一定的分析，实际上关于PAM认证是一个大课题，希望以后有机会和大家进一步分享基于PAM认证的Linux系统安全技巧和经验。