使用 pam_script，如何在所有情况下传递 PAM_AUTHTOK 和 PAM_USER？

每当用户输入密码时，我需要运行一个脚本；该脚本应该能够拒绝该密码，但还不够。

我将脚本放入/etc/pamunlockscript/pam_script_auth并在末尾添加了以下行/etc/pam.d/common-auth：

auth required pam_script.so dir=/etc/pamunlockscript。

根据man 7 pam-script，

All  the  scripts  will be passed several environment variables:
PAM_USER,  PAM_RUSER,   PAM_RHOST,   PAM_SERVICE,   PAM_AUTHTOK,
PAM_TTY,   and  PAM_TYPE  referring  to  the  module-type.

我的测试脚本是

#!/bin/sh
echo script: $PAM_AUTHTOK $PAM_USER

我希望每个程序在验证我的密码时都会pam进行回显。script: (my password) mic

这适用于程序login和i3lock，但脚本会回script:显sudo。