pam配置增强linux系统安全的核心方法包括四步:一、了解pam基本结构,其配置文件位于/etc/pam.d/目录,每行定义模块、控制标志和参数,如required(必须成功)、requisite(失败即终止)、sufficient(成功即满足)、optional(不影响结果);二、设置密码策略,使用pam_pwquality.so设定密码复杂度,结合pam_unix.so启用密码历史记录防止重复使用;三、限制登录尝试与访问时间,通过pam_tally2.so限制失败次数并锁定账户,利用pam_access.so控制ip和时间段访问;四、启用双因素认证,如配置pam_google_authenticator.so实现ssh登录动态验证码验证,提升远程安全性。配置前应备份文件,确保逻辑清晰、顺序正确,避免误操作导致登录问题。
linux系统中,PAM(Pluggable Authentication Modules)是一个非常灵活且强大的认证机制。通过配置PAM,可以有效增强系统的安全性,比如限制登录尝试次数、设置密码复杂度、控制用户访问时间等。它不是直接改一个文件就能搞定的事,但只要理解结构和逻辑,其实并不难。
一、了解PAM的基本结构
PAM的配置文件通常位于 /etc/pam.d/ 目录下,每个服务(如 login、sshd、su 等)都有对应的配置文件。这些文件里每一行定义了一个模块及其控制标志和参数。
常见的控制标志有:
- required:必须成功执行,否则继续检查其他模块,最终返回失败。
- requisite:如果失败立即返回错误,不再继续。
- sufficient:如果成功就认为满足条件,不再继续。
- optional:结果不影响整体认证是否成功。
举个例子,下面这行表示使用 pam_Access.so 模块来控制访问权限:
account required pam_access.so
理解每种模块的作用和调用顺序,是配置PAM的基础。
二、设置密码策略增强安全
要提高系统安全性,首先要从密码策略入手。可以通过 pam_pwquality.so 或 pam_cracklib.so 来设置密码复杂度要求。
例如,在 /etc/pam.d/system-auth 中添加或修改如下行:
password requisite pam_pwquality.so retry=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
这段配置的意思是:
- 用户最多可以重试3次;
- 密码最小长度为10;
- 必须包含大小写字母、数字和特殊字符各至少一个。
还可以结合 pam_unix.so 设置密码历史记录,防止重复使用旧密码:
password sufficient pam_unix.so sha512 shadow nullok remember=5
这样用户就不能重复使用最近5次用过的密码了。
三、限制登录尝试与访问时间
为了防止暴力破解,建议使用 pam_tally2.so 或 pam_faillock.so 来记录失败登录次数,并在超过阈值后锁定账户。
比如在 /etc/pam.d/sshd 文件中加入:
auth required pam_tally2.so deny=5 unlock_time=300
表示允许最多5次失败登录,之后账户会被锁定300秒(5分钟)。
另外,也可以通过 pam_access.so 和 /etc/security/access.conf 控制哪些IP地址或用户可以在什么时间段登录。例如:
# 允许root在工作时间从特定IP登录 :root: 192.168.1.0/24 : tty=tty1:tty2:time= Wk0800-1700
这样可以大大减少非授权访问的可能性。
四、启用双因素认证(可选)
如果你对安全性要求更高,可以考虑在SSH登录中启用双因素认证,比如使用 Google Authenticator。这需要安装 libpam-google-authenticator 包,并在 /etc/pam.d/sshd 中添加:
auth required pam_google_authenticator.so
然后让用户运行 google-authenticator 命令生成二维码并绑定手机App。这样每次SSH登录除了密码,还需要输入动态验证码。
虽然增加了登录步骤,但显著提升了远程访问的安全性。
基本上就这些。PAM的配置不复杂,但容易忽略细节。关键是要清楚每个模块的作用,以及它们之间的执行顺序。改之前最好备份原始配置文件,避免误操作导致无法登录。
