su命令详解

-----------------------------------------------------------------
su 权限设置
[root@localhost ~]# vim /etc/pam.d/su //pam认证
开启：auth required pam_wheel.so use_uid //去掉#
[root@localhost ~]# vim /etc/group
wheel:x:10:han //han账户加入wheel，可以使用su
[han@localhost ~]$ su - lisi //han可以切换
Password:
[lisi@localhost ~]$ su - han //lisi不可以切换
Password:
su: incorrect password
-----------------------------------------------------------------
Pam模块
Linux系统中的Pam模块为可热插拔的认证模块(*.so)
1、配置文件
# ls /etc/pam.d/
atd other subscription-manager
……
newrole su
其中system-auth和password-auth配置文件是RHEL6实现用户名验证机制配置文件，大多数服务的配置将都会调用它们。

2、模块，如果是32为系统则路径是/lib/security/，如果是64为系统则在/lib64/security/目录下
# ls /lib64/security/
pam_access.so pam_gnome_keyring.so pam_namespace.so ……
pam_ftp.so pam_mysql.so pam_stress.so

3、验证阶段
分四个验证管理阶段：不同的阶段完成整个用户登录到登录成功再到退出登录之前整个过程的管理，同一个阶段可以有多个模块来共同 完
成管理，但是这些模块都是依次从上往下的顺序进行，四个阶段必须是从 auth-->account-->password--->session的顺序进行。每个阶段代表
的意思如下：
（1）auth 验证授权阶段，验证用户名是否存在，对应的密码是否正确
（2）account 验证帐号阶段，验证用户是否有效，是否被禁止登录或者是否被允许登录，帐号是否过期
（3）password 密码阶段，用户约束密码修改的时候策略以及和密码相关的任何操作
（4）session 会话阶段，用来约束用户成功登录系统之后的一切操作。
控制标记：
（1）required 必要条件，该模块必须通过验证，如果验证失败不会马上返回失败的结果，而是等同一个阶段后续的模块判断完成之后才返
回失败的结果。
（2）requisite 必要条件，该模块必须通过验证，如果验证失败马上返回失败的结果，不会继续验证同一个阶段后续的模块。
（3）sufficient 充要条件，只要该条件成立，而且该条件前面的必要条件模块也成立了，那么马上返回成功结果，无需再继续验证同一个
阶段后续的模块，如果该条件的模块验证失败，它就会变成可选条件，不影响整个阶段的验证，会继续完成后续的判断。
（4）optional 可选条件，不影响判断结果的条件
（5）include 包含指定的配置文件（相当于把对应的配置文件的同一个阶段的所有选项加载该行）

4、示例
例子1、禁止所有普通用户登录本地系统
（1）首先判断一下登录系统的过程涉及到的配置文件
/bin/login ---> /etc/pam.d/login
（2）搜索需要用到的模块
# find /usr/share/man -iname "pam_*" | grep login
/usr/share/man/man8/pam_loginuid.8.gz
/usr/share/man/man8/pam_nologin.8.gz
此时我们可以看到禁用应该是使用pam_nologin模块，所以通过man文件查看此模块的用法
# man pma_nologin
（3）查看到man文件是需要在login文件中添加一行pam_nologin.so并且需要自己创建nologin文件
# vim /etc/pam.d/login
#%PAM-1.0
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
auth include system-auth
account required pam_nologin.so
account include system-auth

然后再创建nologin
# touch /etc/nologin
（4）认证，测试发现除了root可以登录之外，其他普通账户无法登录系统。
也可以：禁止root登录
#vim /etc/ssh/sshd_config 添加 UsePAM yes
#vim /etc/pam.d/sshd 行首添加：
session required pam_listfile.so item=user sense=deny file=/etc/ssh/denyuser onerr=succeed
#echo "root" >> /etc/ssh/denyuser
列在/etc/ssh/denyuser中的用户， 都会被拒绝使用密码登录！！

例子2、限制普通账户只能在上班时间通过ssh登录系统。
同样的利用上面的步骤方法进行配置
（1）涉及到的配置文件
/etc/pam.d/sshd
（2）涉及到的模块
[root@vpn ~]# find /usr/share/man -iname "*pam_*" |grep time
/usr/share/man/man8/pam_timestamp_check.8.gz
/usr/share/man/man8/pam_time.8.gz
/usr/share/man/man8/pam_timestamp.8.gz
可以通过查看man文档，是pam_time是符合我们的需求，并且得知pam_time的使用方法
# man pam_time
............(省略其他代码)
通man知道需要配置/etc/security/time.conf和在/etc/pam.d/ssh中添加account required pam_time.so
（3）配置/etc/pam.d/sshd
# vim /etc/pam.d/sshd
#%PAM-1.0
auth required pam_sepermit.so
auth include password-auth
account required pam_nologin.so
account required pam_time.so
account include password-auth
..............
（4）配置/etc/security/time.conf
# vim /etc/security/time.conf
在里面添加一行
sshd;*;abc;Wk0800-1800 & !Wd0000-2400
此代码表示普通账户abc可以在工作时间早上8点到下午18点通过ssh登录系统的任何一个安全终端。

例子3、通过pam_tally2进行配置凡是通过ssh登录系统密码错误3次则锁定5分钟
（1）配置/etc/pam.d/sshd
# vim /etc/pam.d/sshd
#%PAM-1.0
auth required pam_sepermit.so
auth required pam_tally2.so deny=3 even_deny_root unlock_time=300 （注意颜色变化）
auth include password-auth
account required pam_nologin.so
（2）测试
通过ssh登录时3次错误密码则此账户被锁定，5分钟解锁。查看账户登录锁定情况
# pam_tally2
Login Failures Latest failure From
abc 3 10/19/13 22:50:31 192.168.232.1
可以手动进行解锁。
# pam_tally2 -u abc -r
Login Failures Latest failure From
abc 3 10/19/13 22:50:31 192.168.232.1
禁止用户设置密码于前三次重复：
# /etc/pam.d/system-auth
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=3
用户登录3次以上就在20秒以内拒绝这个用户登录
# vim /etc/pam.d/login
添加：auth required pam_tally2.so deny=3 unlock_time=20
修改/etc/pam.d/system-auth文件
找到 password requisite pam_cracklib.so这么一行替换成如下：
password requisite pam_cracklib.so retry=5 difok=3 minlen=10 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict
参数含义：
尝试次数：5 最少不同字符：3 最小密码长度：10 最少大写字母：1 最少小写字母：3 最少数字：3 密码字典：/usr/share/cracklib/pw_dict
-------------------------------------------------------------
可设计一个基于PAM的vsftpd虚拟账户实验
--------------------------------------------------------------