假设我已配置sshd(链接到libpam.so.0共享库)以使用 PAM,并且我有以下/etc/pam.d/sshd内容:
auth requisite pam_nologin.so
auth required pam_env.so
auth required pam_unix.so try_first_pass
auth required pam_google_authenticator.so
account requisite pam_nologin.so
account required pam_unix.so try_first_pass
password requisite pam_cracklib.so
password required pam_unix.so use_authtok nullok shadow try_first_pass
session required pam_loginuid.so
session required pam_limits.so
session required pam_unix.so try_first_pass
session optional pam_umask.so
session optional pam_systemd.so
session optional pam_env.so
session optional pam_lastlog.so silent noupdate showfailed
我是否正确地认为 PAMsshd在每个堆栈末尾通知成功或失败?那么首先auth处理设施,然后将结果返回到sshd,然后account处理设施并将account堆栈结果返回到sshd,等等?当经过身份验证的会话结束时,守护进程是否会通知 PAM?
答案1
从某种意义上说,这就是正在发生的事情,但我不会那样说。因为 PAM 不会主动通知 sshd,而是 sshd 通过函数调用询问 PAM(例如pam_authenticate,pam_acct_mgmt等)并根据结果采取行动。 PAM 也不会自动知道会话何时关闭,而是必须通过pam_close_session(因为会话可以从另一个应用程序关闭)。
您可以查找 openssh 的源代码,以了解 sshd 在何处以及如何利用 PAM。我还推荐Linux-PAM 应用程序开发人员指南如果您对细节感兴趣。
答案2
如果通过堆栈,您的意思是身份验证、帐户、密码和会话,那么不,PAM 不会在每一项之后通知 sshd。堆叠仅意味着它们一起用于执行一件事,在您的情况下是授予或拒绝访问。第一列是模块接口,第二列是控制标志,第三列是模块名称和参数。首先,auth 验证密码,account 确定所使用的帐户是否具有访问权限,password 用于更改密码,session 用于挂载主目录或启用邮件。控制标志是不言自明的:required 意味着它必须为真,sufficient 如果失败则被忽略,但如果成功则继续,等等。最后一个告诉它在这种情况下 PAM 使用哪个模块。
2)没有。