對於一個主機系統而言,在系統中會存在一些無法的登陸的使用者,然而他們也必須存在,我們所謂的無法登陸,指的就是這個使用者無法使用bash或其他shell來登入系統而已,並不是說這個帳號就無法使用其他的資源。舉例來說,各個系統帳號中,列印工作由ip這個帳號在管理,WWW服務由Apache這個帳號在管理,他們都可以進行系統管理的工作,但是就是無法登陸知己而已。
換個角度來想如果我的Linux主機提供的是郵件服務,所以說,在這台Linux主機上面的帳號,其實大部分都是用來接受主機的信件而已,並不需要登入主機。這個時候,我們就可以考慮讓單純使用mail的帳號以/sbin/nologin 作為他們的shell,這樣,最起碼當我的主機嘗試想得到系統已取得shell環境時,可以拒絕該帳號。
另外,如果我想要讓某個具有/sbin/nologin 的使用者知道,他們不能登陸主機時,其實我們可以建立“/etc/nologin.txt” 這個檔案,並且在這個檔案內說明不能登陸的原因,那麼下次當這個使用者想要登陸系統時,會出現檔案內的內容
說明:在建立不可登陸的使用者時,也就是其所對應的shell為/sbin/nologin 那麼每次的使用者的登陸都會有相應的規則,也就是不能登陸主機,只是接受主機將要發送過來的某些信件而已,或者其他的功能,我們可以自行建立nologin.txt這個文檔,每當系統登陸這些帳號時。都將會發出此資訊。
PAM可以是一套應用程式的變成介面(API),它提供了一連串的驗證機制,只要使用者將驗證階段的需求告知PAM後,PAM就能夠回報使用者驗證的結果(成功或失敗)
###PAM模組設定文法
就拿passwd舉例:
1. 使用者開始執行/user/bin/passwd 這支程式,並輸入密碼;
2. Passwd調用PAM模組進行驗證
3. PAM模組會到/etc/pam.d/ 中找尋與程式 (passwd)同名的設定檔;
4. 依據/etc/pam.d/passwd內的設定,引用相關的PAM模組逐步進行驗證分析;
5. 將驗證結果回傳給passwd這個程式;
6. Passwd這個程式會根據PAM回傳的結果決定下一個操作
說明:/etc/pam.d 此時是一個設定檔
說明:上面的第一列(也就是驗證類型(type))
1. auth
用來檢驗使用者的身分識別驗證,這種類型是要求輸入密碼來檢驗的,所以後續的模組是用來檢驗使用者的身份
2. session
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
