假设我已配置sshd(链接到libpam.so.0共享库)以使用 PAM,并且我有以下/etc/pam.d/sshd内容:
auth requisite pam_nologin.so
auth required pam_env.so
auth required pam_unix.so try_first_pass
auth required pam_google_authenticator.so
account requisite pam_nologin.so
account required pam_unix.so try_first_pass
password requisite pam_cracklib.so
password required pam_unix.so use_authtok nullok shadow try_first_pass
session required pam_loginuid.so
session required pam_limits.so
session required pam_unix.so try_first_pass
session optional pam_umask.so
session optional pam_systemd.so
session optional pam_env.so
session optional pam_lastlog.so silent noupdate showfailed
我是否正确 PAMsshd在每个堆栈结束时通知成功或失败?那么首先auth处理设施,然后将结果返回到sshd,然后account处理设施并将account堆栈的结果返回到sshd,等等?当认证会话结束时,PAM 是否由守护进程通知?
从某种意义上说,这就是正在发生的事情,但我不会那样说。因为 PAM 不会主动通知 sshd,而是 sshd 通过函数调用(如 、 等)询问 PAM
pam_authenticate并pam_acct_mgmt根据结果进行操作。PAM 也不会自动知道何时关闭会话,但必须通过通知pam_close_session(因为可以从另一个应用程序关闭会话)。您可以查看 openssh 的源代码,以了解 sshd 在何处以及如何使用 PAM。如果您对详细信息感兴趣,我也会推荐Linux-PAM 应用程序开发人员指南。
如果通过堆栈,您的意思是身份验证、帐户、密码和会话,那么不,PAM 不会在每个之后通知 sshd。堆叠只是意味着它们一起用于做一件事,在您的情况下是授予或拒绝访问权限。第一列是模块接口,第二列是控制标志,第三列是模块名称和参数。首先,auth 验证密码,account 确定正在使用的帐户是否具有访问权限,password 用于更改密码,session 用于挂载主目录或启用邮件。控制标志是不言自明的: required 意味着它必须为真,如果失败则忽略充足,但如果成功则继续,等等。最后一个告诉它在这种情况下将哪个模块用于 PAM。
2) 没有。