开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

使用SSH的PAM模块

是一种在Linux系统中进行身份验证和访问控制的机制。PAM（Pluggable Authentication Modules）是一个可插拔的身份验证模块，它允许系统管理员通过配置文件来定义不同的身份验证策略。

PAM模块的分类：

认证模块（auth）：用于验证用户的身份。常见的认证模块包括密码验证、指纹识别、令牌验证等。
授权模块（account）：用于控制用户是否允许访问系统资源。常见的授权模块包括限制登录时间、限制登录IP等。
会话模块（session）：用于在用户登录和注销时执行一些操作。常见的会话模块包括记录登录日志、设置环境变量等。
密码模块（password）：用于管理用户密码。常见的密码模块包括密码策略、密码加密算法等。

PAM模块的优势：

灵活性：PAM模块可以根据系统管理员的需求进行配置，可以选择不同的认证方式和授权策略。
安全性：PAM模块支持多因素身份验证，可以提供更高的安全性保障。
可扩展性：PAM模块支持第三方开发者编写自定义的认证和授权模块，可以满足不同系统的需求。

PAM模块的应用场景：

远程登录：通过配置PAM模块，可以实现对SSH远程登录的身份验证和访问控制。
系统登录：PAM模块可以用于控制用户在本地登录系统的权限和行为。
应用程序认证：PAM模块可以用于应用程序的身份验证和授权管理。

腾讯云相关产品和产品介绍链接地址：

腾讯云提供了一系列与云计算相关的产品和服务，包括云服务器、云数据库、云存储等。具体与PAM模块相关的产品和服务可以参考以下链接：

云服务器（CVM）：https://cloud.tencent.com/product/cvm
云数据库（CDB）：https://cloud.tencent.com/product/cdb
云存储（COS）：https://cloud.tencent.com/product/cos

请注意，以上链接仅为示例，实际使用时应根据具体需求选择适合的产品和服务。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

一种跳板机的实现思路

有别于市面上常见的jumpserver方案，使用本文所搭建的跳板机将不会存储任何Linux服务器的账号、密码、密钥等信息，杜绝了信息泄露的可能。本文最大的特点是借助Linux的PAM机制，通过修改Linux服务器系统层配置，部分接管了Linux系统的身份认证能力，关于这一点，下文将详细描述。

04

SSH软链接后门利用和原理

查看是否使用PAM进行身份验证：cat/etc/ssh/sshd_config|grep UsePAM

02

腾讯云cvm-linux登录不上: PAM模块问题（案例篇）

CVM云服务器通过VNC输入正确的密码后无法正常登录，报错Module is unknown

权限维持_Linux操作系统后门

以 ssh 为例，每当有 ssh 的连接请求时，tcpd（Tcp Wrapper的守护进程）即会截获请求，当请求满足配置文件中的规则，则放行，否则中断连接，配置文件中可设置匹配规则后执行命令

01

【权限维持】Linux&OpenSSH&PAM后门&SSH软链接&公私钥登录

这里复现也真是奇怪，在靶机上没复现成功，在服务器上复现成功了原理：替换本身操作系统的ssh协议支撑软件openssh，重新安装自定义的openssh,达到记录帐号密码，也可以采用万能密码连接的功能！参考：(演示未做版本修改及文件修改时间处理)

01

使用pam_tally2锁定和解锁SSH失败的登录尝试

pam_tally2模块可于用于在对系统进行一定次数的失败ssh登录尝试后锁定用户

01

linux中禁用Root帐户的4种方法

root账号是 Linux 和其他类 Unix 操作系统上的超级帐户。此帐户可以访问系统上的所有命令和文件，并具有完全读取、写入和执行权限。它用于在系统上执行任何类型的任务；create/update/access/delete其他用户的帐户，install/remove/upgrade软件包。 root用户拥有绝对权力，执行的任何操作都对系统至关重要。在这方面，任何错误由root用户可能对系统的正常运行产生巨大影响。此外，该帐户也可能因意外、恶意或人为无视规则而被不当或不当使用而被滥用。因此，建议禁用

01

Ubuntu 20.04 开启并使用二步验证教程 (Two-Factor Authentication)

二次验证是目前比较常用的安全手段，通过设置二次验证，我们可以有效的避免账户密码可能的泄露导致的账户信息泄露，因为每次登陆前我们都需要获取一个一次性验证码，没有验证码就无法成功登陆。二次验证也叫两步验证、两步验证等。本文中老唐将说明如何在 Ubuntu 20.04 上使用 Google Authenticator PAM 模块进行 SSH 和 sudo 身份验证。

07

多次登录失败用户被锁定及使用Pam_Tally2解锁

在linux系统中，用户多次登录失败会被锁定，一段时间内将不能再登录系统，这是一般会用到Pam_Tally2进行账户解锁。

02

Linux多次登录失败用户被锁定使用Pam_Tally2解锁

在Linux系统中，用户多次登录失败会被锁定，一段时间内将不能再登录系统，这是一般会用到Pam_Tally2进行账户解锁。

02

linux中禁用Root帐户的4种方法

root账号是 Linux 和其他类 Unix 操作系统上的超级帐户。此帐户可以访问系统上的所有命令和文件，并具有完全读取、写入和执行权限。它用于在系统上执行任何类型的任务； create/update/access/delete其他用户的帐户，install/remove/upgrade软件包。 root用户拥有绝对权力，执行的任何操作都对系统至关重要。在这方面，任何错误由root用户可能对系统的正常运行产生巨大影响。此外，该帐户也可能因意外、恶意或人为无视规则而被不当或不当使用而被滥用。因此，建议禁

00

Linux 下 4 种禁用 Root 登陆的方法，你掌握了哪几种呢？

我们都知道 Linux 下 Root 用户的权限是最大的，因此一般不推荐直接使用 Root 用户操作。通常都是使用普通用户，在必要时通过 Sudo 命令来提权。

00

linux-centos7 基于等保3的系统安全体系

Note：更改ssh相关配置后需要重启sshd服务 systemctl restart sshd

06

【CentOS7操作系统安全加固系列】第(3)篇

规则描述：在给定时间段内已停用的用户帐户可以自动禁用。建议在密码到期后 30 天内处于非活动状态的帐户被禁用。

03

Linux下PAM模块学习总结

在Linux中执行有些程序时，这些程序在执行前首先要对启动它的用户进行认证，符合一定的要求之后才允许执行，例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的，PAM（Pluggable Authentication Modules）可动态加载验证模块，因为可以按需要动态的对验证的内容进行变更，所以可以大大提高验证的灵活性。一、PAM模块介绍 Linux-PAM（即linux可插入认证模块）是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说，不用(重新编写)

等保测评：CentOS登录失败参数详解和双因素认证

注：本文上半部和等保联系不是很密切，还是说一了些linux里细节一些的东西，所以有可能会浪费你生命中的好几分钟，同时我使用的是centos6。

02

【实用】防暴力破解服务器ssh登入次数

于是乎写出了这个防范措施。防暴力破解服务器ssh登入次数，账号锁定，IP拉黑，日志查看。

04

如何为Linux系统中的SSH添加双重认证

近来很多知名企业都出现了密码泄露，业内对多重认证的呼声也越来越高。在这种多重认证的系统中，用户需要通过两种不同的认证程序：提供他们知道的信息（如用户名/密码），再借助其他工具提供用户所不知道的信息（

05

安全: Linux 系统安全简单设置

设置sshd，禁用root 例子： vim /etc/ssh/sshd_config PermitRootLogin yes => PermitRootLogin nosystemctl restar

02

密码–暴力激活成功教程

hydra 是世界顶级密码暴力密码激活成功教程工具，支持几乎所有协议的在线密码激活成功教程，功能强大，其密码能否被激活成功教程关键取决于激活成功教程字典是否足够强大，在网络安全渗透过程中是一款必备的测试工具。

03

如何在Ubuntu 18.04上配置多重身份验证

双因素身份验证（2FA）是一种身份验证方法，需要输入多条信息才能成功登录帐户或设备。除了输入用户名和密码组合之外，2FA还要求用户输入一条额外的信息，例如一次性密码（OTP），如六位数的验证码。

03

腾讯云上的服务器安全加固

安全加固是企业安全中及其重要的一环，其主要内容包括账号安全、认证授权、协议安全、审计安全四项，今天了解一下购买了腾讯云上的Linux的系统如何加固（CentOS）。

01

为你的CVM设置SSH密钥吧！

认证是用于证明您有权执行某项操作的信息，例如登录到系统。认证通道是身份验证系统向用户传递因素或要求用户回复的方式。通俗的来讲，密码和安全令牌就是身份验证证明，计算机和电话是就是身份验证的通道。

02

如何在CentOS上使用双重身份验证

在本教程中，您将学习如何在CentOS 7上使用一次性密码进行SSH上的双重身份验证。

03

窃取SSH凭证的另一种方法

不久前，我曾写过一篇关于使用strace来获取ssh密码的文章。但该方法并不是时常有效的，因为在不同的发行版上strace的输出并不相同。所以在本文中，我将为大家介绍另外一种获取ssh密码的方法。这种方法是我在ChokePoint找到的，他向我们展示了如何使用python创建PAM模块记录失败的尝试，现在我要做的就是更改登录密码的地方。原脚本中当登录失败时，使用的auth_log函数。而在我的脚本中，当登录成功时使用的是我定义的函数sendMessage 该函数主要用于发送用户，密码以及连接

06

【CentOS7操作系统安全加固】第(2)篇

规则描述：重新启用某个旧密码，要确保此密码在继上次使用后已被修改过几次。此策略是管理员能够通过确保旧密码不被连续重新使用来增强安全性

03

等保测评主机安全之centos密码长度

在《等级测评师初级教程》里，对于密码长度的设置指向了/etc/login.defs里的PASS_MIN_LEN字段。

02

Linux下常见的权限维持方式

攻击者在获取系统权限后，通常会留下后门以便再次访问。本文将对Linux下常见的权限维持技术进行解析，知己知彼百战不殆。

02

如何在 Debian服务器上启用双因子身份验证

双因子身份验证就是指，需要两种身份验证才能完成账号有效性的验证，可以是密码、SSH 密钥，也可以是第三方服务，比如 Google Authenticator。这意味着单个验证方式的缺陷，不会影响账号的安全。本文我们将介绍如何在 Debian 服务器上启用双因子验证。

02

Cenos安全配置之身份识别相关

查看账户、口令文件、与系统管理员确认不必要的账户。对于一些保留的系统伪账户如：bin,sys,adm,uucp,lp,nuucp,hpdb,www,daemon等可根据需求锁定登陆

01

Linux 系统安全与优化配置

Linux 系统安全与优化配置 Linux 系统安全问题 ---- 目录 1. Openssh 安全配置 1.1. 禁止root用户登录 1.2. 限制SSH验证重试次数 1.3. 禁止证书登陆 1.4. 使用证书替代密码认证 1.5. 图形窗口客户端记忆密码的问题 1.6. 关闭 GSSAPI 1.7. 禁止SSH端口映射 1.8. IP地址限制 2. Shell 安全 2.1. .history 文件 2.2. sudo 安全问题 2.3. 临时文件安全 2.4. 执行权限 3. 防火墙 3.1. 策略

04

Ubuntu安全基线检查

描述设置密码失效时间，强制定期修改密码，减少密码被泄漏和猜测风险，使用非密码登录方式（如密钥对）请忽略此项。加固建议使用非密码登录方式如密钥对，请忽略此项。在 /etc/login.defs中将 PASS_MAX_DAYS 参数设置为 60-180之间，如:

01

利用系统特性伪装成一个免密登陆后门

0x00. 引言这是一个使用到了一点小伎俩的后门，如果渗透进入一个系统并拿到root权限的shell，对方防火墙没有限制，则可以通过本文的方法运行一个root可登陆且不需要权限的ssh后门。这可以

06

linux尝试登录失败后锁定用户账户的两种方法

本文主要给大家介绍了关于linux尝试登录失败后锁定用户账户的相关内容，分享出来供大家参考学习，下面来一起看看详细的介绍吧。

01

Linux 系统安全与优化配置

Linux 系统安全与优化配置 Linux 系统安全问题 ---- 目录 1. Openssh 安全配置 1.1. 禁止root用户登录 1.2. 限制SSH验证重试次数 1.3. 禁止证书登陆 1.4. 使用证书替代密码认证 1.5. 图形窗口客户端记忆密码的问题 1.6. 关闭 GSSAPI 1.7. 禁止SSH端口映射 1.8. IP地址限制 2. Shell 安全 2.1. .history 文件 2.2. sudo 安全问题 2.3. 临时文件安全 2.4. 执行权限 3. 防火墙 3.1. 策略

05

Linux登陆失败处理功能

本文要实现的功能：如果有人恶意尝试破解你的服务器密码，那么这个功能就能帮你起到一定的作用，当尝试密码错误超过设定的次数后，就会锁定该账户多长时间（自行设定），时间过后即可自行解锁，这样可以增加攻击者的成本。

02

Linux 系统安全与优化配置

Linux 系统安全与优化配置目录 1. Openssh 安全配置 1.1. 禁止root用户登录 1.2. 限制SSH验证重试次数 1.3. 禁止证书登陆 1.4. 使用证书替代密码认证 1.5. 图形窗口客户端记忆密码的问题 1.6. 关闭 GSSAPI 1.7. 禁止SSH端口映射 1.8. IP地址限制 2. Shell 安全 2.1. .history 文件 2.2. sudo 安全问题 2.3. 临时文件安全 2.4. 执行权限 3. 防火墙 3.1. 策略 3.2. 防止成为跳板机 3.3.

05

Linux强化论：15步打造一个安全的Linux服务器

可能大多数人都觉得Linux是安全的吧？但我要告诉你，这种想法绝对是错误的！假设你的笔记本电脑在没有增强安全保护的情况下被盗了，小偷首先就会尝试用“root”（用户名）和“toor”（密码）来登录你的电脑，因为这是KaliLinux的默认用户名和密码，而大多数人仍然会继续使用它们。你是否也是这样？我希望你不是！

02

通过Google身份验证器加强Linux帐户安全

而后，google的验证模块就会被复制到/lib64/security目录下，而用来生成密钥的可执行程序：google-authenticator，则复制到/usr/local/bin目录下，方便调用。

01

Linux权限维持入门学习

乌鸦安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

06

提高Linux安全性：14项检查建立安全的Linux服务器

1 – 记录主机信息每当您正在使用新的Linux主机进行安全增强时，您需要创建一个文档并记录本文档中列出的项目，工作完成后，您将需要检查这些项目。另外，在开始时该文档，您需要记录有关Linux主机的信息：设备名称 IP地址 MAC地址负责安全提升工作的人（实际上是你）日期资产编号（如果您正在开展业务，则需要记录设备的资产编号） 2 – BIOS保护您需要为此主机的BIOS设置密码，以确保最终用户无法修改或覆盖BIOS中的安全设置，这非常重要！设置BIOS管理员密码后，您需要从外部媒体设备（US

06

RHEL CentOS 8 SSH双因素认证

双因素认证就是通过用户已知信息（用户名和密码）+用户预先未知信息二要素组合到一起实现双因素身份认证。双因素认证是一种采用时间同步技术的系统，采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥，该密钥同时存放在服务器端，每次认证时动态密码卡与服务器分别根据同样的密钥，同样的随机参数（时间、事件）和同样的算法计算了认证的动态密码，从而确保密码的一致性，从而实现了用户的身份认证。

02

伪装在系统PAM配置文件中的同形异义字后门

0x00. 前言受到FreeBuf早前相关同形异体字攻击文章的启发，故有此文。目前主流的Linux发行版本都支持Unicode，这也给了利用同形异义字迷惑系统管理员的后门有了可乘之机。本文通过案

09

linux（ubuntu）用户连续N次输入错误密码进行登陆时自动锁定X分钟

此处使用的是 pam_tally2 模块，如果不支持 pam_tally2 可以使用 pam_tally 模块。另外，不同的pam版本，设置可能有所不同，具体使用方法，可以参照相关模块的使用规则。

04

会玩，macOS 使用指纹解锁 sudo 密码

在支持 Touch ID 的 Mac 上，许多需要权限的应用都可以通过指纹来验证。但终端中获取 root 权限的 sudo 命令却仍然需要输入密码。如果能够通过刷指纹验证 sudo，那该有多爽啊！

01

新技能，macOS 使用指纹解锁 sudo 密码

（信息来源：基杨大神）在支持 Touch ID 的 Mac 上，许多需要权限的应用都可以通过指纹来验证。但终端中获取 root 权限的 sudo 命令却仍然需要输入密码。如果能够通过刷指纹验证 sudo，那该有多爽啊！

centos7.2系统优化原

GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"

03

linux 服务器的25个强化安全提示

Linux默认情况下是安全的，并同意进行一些扩展（这是有争议的话题）。但是，默认情况下，Linux 具有内置的安全模型。需要根据你的需要对其进行调整和自定义，这可能有助于构建更安全的系统。Linux 更难管理，但提供了更多的灵活性和配置选项。 1. 物理系统安全配置 BIOS 禁用从启动 CD/DVD, External Devices, Floppy Drive 在 BIOS. 接下来，启用BIOS 密码和保护 GRUB 使用密码来限制对系统的物理访问。 2. 磁盘分区如果发生任何事故，拥有不同的分区

03

linux ssh安全设置

修改ssh端口号： Port 8622 指定要绑定的网络接口,默认是监听所有接口,建议绑定到内网通讯的网卡地址 ListenAddress 192.168.1.220 只允许 ssh v2的连接： Protocol 2 当使用者连上 SSH server 之后，会出现输入密码的画面，在该画面中，在多久时间内没有成功连上 SSH server 就强迫断线！若无单位则默认时间为秒！ LoginGraceTime 20 禁止root账号通过ssh登录： PermitRootLogin no 是否让sshd去检

06

在 Ubuntu 和 Debian 上启用双因子身份验证的三种备选方案

如今，安全比以往更加重要，保护 SSH 服务器是作为系统管理员可以做的最为重要的事情之一。传统地，这意味着禁用密码身份验证而改用 SSH 密钥。无疑这是你首先应该做的，但这并不意味着 SSH 无法变得更加安全。

04

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭