11.5. PAM 구성 예


자세한 설명과 함께 PAM 구성 파일의 예를 참조하십시오.

주석이 달린 PAM 구성 예

#%PAM-1.0
auth		required	pam_securetty.so 1
auth		required	pam_unix.so nullok 2
auth		required	pam_nologin.so 3
account		required	pam_unix.so 4
password	required	pam_pwquality.so retry=3 5
password	required	pam_unix.so shadow nullok use_authtok 6
session		required	pam_unix.so 7

1
이 행은 이 파일이 있는 경우 /etc/securetty 파일에 나열된 터미널에서 root 로그인이 허용됩니다. 파일에 터미널이 나열되지 않으면 root로 로그인에 실패하고 Login 잘못된 메시지가 표시됩니다.
2
사용자에게 암호를 입력하라는 메시지를 표시하고 /etc/passwd 에 저장된 정보에 대해 확인하고 존재하는 경우 /etc/shadow. nullok 인수는 빈 암호를 허용합니다.
3
/etc/nologin 파일이 있는지 확인합니다. 존재하지 않고 사용자가 root가 아닌 경우 인증이 실패합니다.
참고

이 예제에서는 첫 번째 auth 모듈이 실패하더라도 세 개의 auth 모듈이 모두 확인됩니다. 잠재적인 공격자가 인증이 실패한 단계를 모르는 것을 방지하는 좋은 보안 접근 방식입니다.

4
사용자 계정을 확인합니다. 예를 들어 shadow 암호가 활성화된 경우 pam_unix.so 모듈의 계정 유형은 만료된 계정을 확인하거나 사용자가 암호를 변경해야 하는지 확인합니다.
5
현재 암호가 만료되었거나 사용자가 암호 변경을 수동으로 요청할 때 새 암호를 입력하라는 메시지가 표시됩니다. 그런 다음 새로 생성된 암호의 강도를 확인하여 품질 요구 사항을 충족하는지 확인하고 사전 기반 암호 크래킹 프로그램에 의해 쉽게 결정되지 않습니다. retry=3 인수는 사용자에게 강력한 암호를 생성하려는 세 번의 시도를 지정합니다.
6
pam_unix.so 모듈은 암호 변경 사항을 관리합니다. shadow 인수는 사용자의 암호를 업데이트할 때 섀도우 암호를 생성하도록 모듈에 지시합니다. nullok 인수를 사용하면 사용자가 빈 암호에서 암호를 변경할 수 있으며, 그렇지 않으면 null 암호가 계정 잠금으로 처리됩니다. use_authtok 인수는 사용자에게 다시 메시지를 표시하지 않고 이전에 입력한 암호를 허용합니다. 이렇게 하면 모든 새 암호가 허용되기 전에 pam_pwquality.so 에서 보안 암호에 대한 pam_pwquality.so 검사를 전달해야 합니다.
7
pam_unix.so 모듈은 세션을 관리하고 각 세션의 시작과 끝에 사용자 이름과 서비스 유형을 기록합니다. 로그는 systemd-journald 서비스에 의해 수집되며 journalctl 명령을 사용하여 볼 수 있습니다. 로그는 /var/log/secure 에도 저장됩니다. 이 모듈은 추가 기능을 위해 다른 세션 모듈과 함께 누적하여 보완할 수 있습니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.