————————————————–常用模块简介———————————————————-
/etc/pam.d/* : 每个程序个别的PAM配置文件
/lib(64)/security/* : PAM模块文件的实际放置目录
/etc/secutiry/* : 其他PAM环境的配置文件
1、实现指定组用户可以登录系统
/etc/pam.d/login实际上指向 /etc/pam.d/system-auth,所以,修改
#vim /etc/pam.d/system-auth
在auth required pam_env.so后面添加,因为这行做环境变量等操作
auth required pam_listfile.so item=group sense=allow file=/etc/pam_allowgroups
#vim /etc/pam_allowgroups (把权限改成700)
root
allowgrp
#groupadd allowgrp
#usermod -a -G allowgrp fedora
即可实现某些运行的组可以登录(这种需要用户名和密码)
方式二:
vim /etc/pam.d/su
#auth sufficient pam_wheel.so trust use_uid
把这行启用,另外添加用户到wheel组中,用户可以直接su到root。
个人觉得挺重要的是/etc/security/limits.conf文件:
domain:
a user name
a group name,with @group syntax
…
type:
soft:软限制
hard:硬限制
- :表示软硬都包含
item:
fsize :文件的最大值(KB)
nofile:最大文件个数 ulimit -n
nproc:最大进程个数 ulimit -u
data :最大数据大小
如果内容多,可以建立保存到/etc/security/limit.d/*.conf
ulimit:
-a 显示所有限制
-d 进程数据段大小的上限
-f shell所能创建的文件大小的上限
-m 驻留内存大小的上限
-n 打开文件数的上限
-u 进程数的上限
-v 虚拟内存的上限
示例:
1、限制test用户只能新建100M的文件,且大于90M便会有警告
#vim /etc/security/limits.conf
test soft fsize 90000
test hard fsize 100000
$ulimit -a 可以看到有限制
$dd if=/dev/zero of=test bs=1M count=110
File size limit exceeded
2、限制pro1这个组,每次只能有一个用户登录系统
#vim /etc/security/limits.conf
@pro1 hard maxlogins 1
另外想说明,在设置文件最大打开数的时候,不可以直接设置成unlimited,否则会无法验证登录。
ulimit unlimited 不限制用户可以使用的资源,但本设置对可打开的最大文件数(max open files)
和可同时运行的最大进程数(max user processes)无效
另外在设置最大打开文件数时,看到《构建Linux高可用服务器》P56说道在/etc/security/limits.conf中开机后不会生效,这个我在实验时没有遇到,
不知道是不是6+版本什么其他的原因。。
个人觉得这篇文章不错:
http://blog.itpub.net/22418990/viewspace-715239/
更多关于这个文件和ulimit命令,可以参考这个文章!!
关于常见模块的介绍,可以直接如下。
这篇文章主要参考《鸟哥的Linux私房菜》,更多可直接参阅原书。。
