11.5. PAM 구성 예
자세한 설명과 함께 PAM 구성 파일의 예를 참조하십시오.
주석이 달린 PAM 구성 예
#%PAM-1.0 auth required pam_securetty.so 1 auth required pam_unix.so nullok 2 auth required pam_nologin.so 3 account required pam_unix.so 4 password required pam_pwquality.so retry=3 5 password required pam_unix.so shadow nullok use_authtok 6 session required pam_unix.so 7
- 1
- 이 행은 이 파일이 있는 경우
/etc/securetty
파일에 나열된 터미널에서 root 로그인이 허용됩니다. 파일에 터미널이 나열되지 않으면 root로 로그인에 실패하고Login 잘못된
메시지가 표시됩니다. - 2
- 사용자에게 암호를 입력하라는 메시지를 표시하고
/etc/passwd
에 저장된 정보에 대해 확인하고 존재하는 경우/etc/shadow
.nullok
인수는 빈 암호를 허용합니다. - 3
/etc/nologin
파일이 있는지 확인합니다. 존재하지 않고 사용자가 root가 아닌 경우 인증이 실패합니다.참고이 예제에서는 첫 번째
auth
모듈이 실패하더라도 세 개의auth
모듈이 모두 확인됩니다. 잠재적인 공격자가 인증이 실패한 단계를 모르는 것을 방지하는 좋은 보안 접근 방식입니다.- 4
- 사용자 계정을 확인합니다. 예를 들어 shadow 암호가 활성화된 경우
pam_unix.so
모듈의 계정 유형은 만료된 계정을 확인하거나 사용자가 암호를 변경해야 하는지 확인합니다. - 5
- 현재 암호가 만료되었거나 사용자가 암호 변경을 수동으로 요청할 때 새 암호를 입력하라는 메시지가 표시됩니다. 그런 다음 새로 생성된 암호의 강도를 확인하여 품질 요구 사항을 충족하는지 확인하고 사전 기반 암호 크래킹 프로그램에 의해 쉽게 결정되지 않습니다.
retry=3
인수는 사용자에게 강력한 암호를 생성하려는 세 번의 시도를 지정합니다. - 6
pam_unix.so
모듈은 암호 변경 사항을 관리합니다.shadow
인수는 사용자의 암호를 업데이트할 때 섀도우 암호를 생성하도록 모듈에 지시합니다.nullok
인수를 사용하면 사용자가 빈 암호에서 암호를 변경할 수 있으며, 그렇지 않으면 null 암호가 계정 잠금으로 처리됩니다.use_authtok
인수는 사용자에게 다시 메시지를 표시하지 않고 이전에 입력한 암호를 허용합니다. 이렇게 하면 모든 새 암호가 허용되기 전에pam_pwquality.so
에서 보안 암호에 대한 pam_pwquality.so 검사를 전달해야 합니다.- 7
pam_unix.so
모듈은 세션을 관리하고 각 세션의 시작과 끝에 사용자 이름과 서비스 유형을 기록합니다. 로그는systemd-journald
서비스에 의해 수집되며journalctl
명령을 사용하여 볼 수 있습니다. 로그는/var/log/secure
에도 저장됩니다. 이 모듈은 추가 기능을 위해 다른 세션 모듈과 함께 누적하여 보완할 수 있습니다.