linux PAM配置 sshd 白(黑)名单
1.pam介绍
PAM 就是 Pluggable Authentication Modules 这几个英文单词的缩写当你在请求服务的时候,具有PAM认证功能的应用程序将与这些.so文件进行交互,以便得知是否可以授权给发起请求的用户来使用服务,比如su, vsftp, httpd,等。如果认证成功了,那么这个用户便可以使用服务或完成命令,如果认证失败了,那么这个用户将不能使用服务,同时,PAM将向指定的log文件写入警告信息
PAM 机制将把多个低级别验证模式集成到高级别 API 中,该 API 将允许以独立于底层验证模式的方式编写使用验证的程序。PAM 的主要特征表现为通过 /etc/pam.d
或 /etc/pam.conf
文件实现动态验证配置。
2.添加白名单
(1)vim /etc/ssh/ssh_pass_users 添加用户
(2) chmod 600 /etc/ssh/ssh_pass_users chown root /etc/ssh/ssh_pass_users 修改权限
(3) 修改pam配置/etc/pam.d/sshd
auth required pam_listfile.so item=user sense=allow file=/etc/ssh/ssh_pass_users onerr=succeed
3.添加黑名单
(1)vim /etc/ssh/sshd_deny_users 添加用户
(2) chmod 600 /etc/ssh/sshd_deny_users chown root /etc/ssh/sshd_deny_users 修改权限
(3) 修改pam配置/etc/pam.d/sshd
auth required pam_listfile.so item=user sense=deny file=/etc/ssh/sshd_deny_users onerr=succeed