5. pam_lastlog - auth - Сообщает о месте и времени входа в систему. Для протоколирования используетсяфайл wtmp, находящийся в каталоге /var/log. К полезным параметрам можно отнести:
nodate noterm nohost silent – позволяютневыводить в сообщении дату, терминал, адресмашины или вообще ничего не записывать в файл;
never – предоставляет возможность выдачи приветствия пользователя, впервые вошедшего в систему.
6. pam_limits |session |Позволяет задавать ограничения для пользователя на размер файлов, число одновременно открытых дескрипторов и т. д.Имеет параметр conf=S для указания альтернативного конфигурационного файла.
7. pam_listfile - auth - Предназначен для организации доступа на основе конфигурационных файлов наподобие /etc/ftpaccess. Возможные паарметры:
onerr=succeed | fail – задает возвращаемоезначение в случае неудачного поиска;
sence=allow | deny – задает возвращаемое значение в случае удачного поиска;
file=filename – позволяет указать имя файла со списком;
item=user - tty - rhost - ruser -group
shell – определяет тип элементов в списке.Например, значение item=user означает, чтов файле содержится список имен пользователей, имеющих возможность входа всистему.
8. pam_mail - auth - Позволяет уведомлять пользователя о вновь пришедшей почте. Полезные параметры:
dir=S – указывает путь к каталогу почтовыхочередей;
noenv – отменяет установку переменной среды MAIL;
close – разрешает уведомлять о новых письмах в почтовых ящиках пользователей с аннулированными бюджетами;
nopen – запрещает вывод какой-либо почтовой информации для вновь заведенного бюджета.
9. pam_nologin - auth - Если файл /etc/nologin существует, в систему может войти только привилегированный пользователь root, остальным же при попытке входа выдается содержимое этого файла.
10. pam_permit - любой - Этот модуль дает доступ при любых условиях. Необдуманное использование этогомодуля весьма опасно!
11. pam_pwdb - любой - Замещает модули серии pam_unix. Этот модуль использует интерфейс библиотеки libpwdb, предназначенный для работы с пользовательскими базами данных, что повышает независимость системы аутентификации от способа хранения пользовательских данных. Полезные параметры:
nullok – разрешает использование пустых паролей;
md5 shadow bigcrypt – указывает используемые алгоритмы шифрования паролей.
12. pam_radius - bsession - Позволяет осуществлять аутентификацию через сервер RADIUS.
13. pam_rhosts_auth - auth - Механизм работы этого модуля основывается на анализе содержимого файлов hosts.equiv и .rhosts, используемых для аутентификациитакими службами, как rlogin и rsh. Полезные параметры:
no_hosts_equiv – позволяет игнорировать содержимое файла hosts.equiv;
no_rhosts - позволяет игнорировать содержимое файла .rhosts;
suppress – позволяет избежать запись малозначительных сообщений в системный журнал, в частности, при использовании флага sufficient.
14. pam_root_ok - auth - Позволяет организовать доступ привилегированного пользователя к сервису,минуя процедуру ввода пароля. Пользовательдопускается к сервису, только если его системный идентификатор равен нулю (то есть привилегированный пользователь root).
15. pam_securetty - auth - Позволяет учитывать файл /etc/securetty. Вфайле /etc/securetty указаны терминалы, с которых привилегированный пользователь имеет доступ в систему.
16. pam_time - account - Накладывает временные ограничения на доступ в систему.
17. pam_warn - auth - Производит записи в системных журналах приpassword определенных действиях.
18. pam_wheel - auth - Этот модуль позволяет получить права привилегированного пользователя только пользователям определенной группы.Полезные параметры:
group=XXX – задает группу, пользователи которой имеют возможность получить права пользователя root;
deny – этот параметр инвертирует действие модуля, другими словами, он запрещает изменение прав на права пользователя root для указанной группы;
trust – избавляет пользователей указанной группы от необходимости ввода пароля при смене идентификатора на нулевой.
Возможно также создание собственных PAM-модулей на основе готовыхшаблонов, что позволяет быстро получить необходимый метод аутентификациибез особых усилий.
Выводы
В данной расчетно-графической работе была освещена тема управления учетными записями пользователей в операционной системе Linux; вопросы создания, удаления учетных записей, блокировка и администрирование доступа пользователей к ресурсам ОС, создание и удаление групп пользователей, управление паролями и работа службы теневого хранения паролей; описана работа дополнительного модуля аутентификации PAM, рассмотрены вопросы серийного добавления пользователей, создания групп и замены паролей, описана работа вспомогательных утилит mass_add и mass_passwd.
А также рассмотрены команды управления учетными записями, формат учетных записей, а также возможность временного предоставления пользователям администраторских прав пользователя Root.