Разница между /etc/pam.d/login и /etc/pam.d/system-auth?

11

Я хочу настроить securetty, чтобы ограничить прямой доступ root. Теперь мне ясно, если я добавлю:

auth        required      pam_securetty.so 

в /etc/pam.d/system-auth и оставьте только "console" в / etc / securetty, вход в ssh также будет запрещен. И если я добавлю:

auth        required      pam_securetty.so  

в /etc/pam.d/login и оставьте только «console» в / etc / securetty, вход в ssh не будет запрещен.

Теперь я не очень понимаю разницу между /etc/pam.d/login и /etc/pam.d/system-auth. Может ли кто-нибудь дать мне ссылку или руководство? Большое спасибо!

PS /etc/pam.d/login vs. /etc/pam.d/system-auth также дает немного об этом, но я хочу получить больше, чтобы сделать меня более ясным.

zhaojing
источник
1
Не могли бы вы быть более точным? Чего не хватает по ссылке? Это объясняет различия между обоими файлами.
Кристиан
Кристиан, да, на самом деле, ссылка дает мне понять о проблеме. Но я хочу знать, есть ли еще разница, потому что я не уверен, что ответ «логин только для локальной консоли (НЕ удаленный логин)» в ссылке правильный.
Чжаоцзин

Ответы:

8

/etc/pam.d/system-authФайл используется Red-Hat и подобных систем группироваться политики общей безопасности. Он часто включается в другие /etc/pam.dфайлы политики, где требуются эти общие политики.

При обращении к системе через ssh через sshd, к /etc/pam.d/sshdфайлу политики обращаются . Этот файл включает в себя, /etc/pam.d/system-authпоэтому ваши изменения /etc/pam.d/system-authдействительны.

К файлу /etc/pam.d/loginобращаются при входе через /bin/loginпрограмму, поэтому любые изменения в нем только влияют /bin/login.

Iain
источник
4
  • login - правила для локальных (консольный вход)
  • system-auth - общие правила многих сервисов
  • пароль-аутентификация - общие правила для многих удаленных сервисов
  • sshd - правила только для демона SSHD
Бенни
источник
3

Теперь я не очень понимаю разницу между /etc/pam.d/login и /etc/pam.d/system-auth. Может ли кто-нибудь дать мне ссылку или руководство?

OpenSSH использует модуль /etc/pam.d/sshd. /etc/pam.d/sshd:

auth       include      system-auth

OpenSSH не использует /etc/pam.d/login для авторизации. /etc/pam.d/login и /etc/pam.d/system-auth - это разные модули для разных программ.

bindbn
источник
bindbn, спасибо за ваши объяснения и предложения. Я понял ваше значение "etc / pam.d / login и /etc/pam.d/system-auth - это разные модули для разных программ".
Чжаоцзин