2009-09-08   追风

6.6. pam_env - 配置环境变量模块

pam_env.so [ debug ] [ conffile=conf-file ] [ envfile=env-file ] [ readenv=0|1
] [ user_envfile=env-file ] [ user_readenv=0|1 ]

6.6.1. 综述

这个PAM模块允许对环境变量进行设置。缺省情况下，通过配置文件/etc/security/pam_env.conf设置变量。

除 此之外，该模块还可以从/etc/environment文件中读入形如“变量名=值”的环境变量。当然，你可以通过设置envfile标志位指定自己的 文件，也可以通过设置标志位readenv为1或0，来启用或者关闭该文件。需要注意的是，该文件的读入的值，将覆盖conffile文件中的缺省值。

6.6.2. 描述

pam_env模块通过/etc/security/pam_env.conf来决定环境变量是否应该被设置，或者是取消设置，或者是更改设置。当用户登录时，模块就通过读取这个文件把环境变量设置好了。

文 件中每一行都是以变量名开头，每个变量有两个选项，DEFAULT 和 OVERRIDE。DEFAULT 是用来设置变量的默认值的，如果DEFAULT选项没有指定具体值，则将会用空字符串代替。OVERRIDE选项用来告诉pam_env模块，使用 OVERRIDE的值来覆盖DEFAULT的值。
在/etc/security/pam_env.conf中也有相关的说明。

VARIABLE [DEFAULT=[value]] [OVERRIDE=[value]]

环境变量有可能是${string}的形式，PAM_ITEM有可能是@{string}的形式。不论是$还是@，都需要用反斜杠“\”进行字符转换。

“#”开头的行为注释

6.6.3. 选项参数

conffile=/path/to/pam_env.conf

     指定配置文件路径，默认为/etc/security/pam_env.con。在不同服务需要不同环境变量时，可以使用该参数为不同的服务指定不同的配置文件

debug

     通过syslog打印调式信息

envfile=/path/to/environment

      指定配置文件路径，默认路径是/etc/environment。该文件的用途看6.6.1节。在不同服务需要不同环境变量时，可以使用该参数为不同的服务指定不同的配置文件

readenv=0|1

     使能或关闭对envfile指定文件的读取，0为关闭, 1为使能。默认使能。

user_envfile=filename

     指定文件.pam_environment来覆盖默认的环境变量。该文件必须在用户的home目录下，例如$HOME/.pam_environment

user_readenv=0|1

    使能或关闭对user_envfile指定文件的读取，0为关闭, 1为使能。默认使能。

6.6.4. 模块所支持的类型

auth session

6.6.5. 返回值

PAM_ABORT

     无法得到所有相关数据和参数

PAM_BUF_ERR

     内存缓冲区错误

PAM_IGNORE

    没有找到文件pam_env.conf和文件environment

PAM_SUCCESS

     成功设置环境变量

6.6.6. 文件

/etc/security/pam_env.conf

     默认配置文件

/etc/environment

     默认环境文件

$HOME/.pam_environment

     用户特定的环境文件

6.6.7. 例子

这些例子在/etc/security/pam_env.conf.都可以找到。

设置远程主机变量REMOTEHOST，默认为"localhost"，而不是不设置。

      REMOTEHOST     DEFAULT=localhost OVERRIDE=@{PAM_RHOST}

设置变量DISPLAY

      DISPLAY        DEFAULT=${REMOTEHOST}:0.0 OVERRIDE=${DISPLAY}

其他一些简单的变量

      PAGER          DEFAULT=less
      MANPAGER       DEFAULT=less
      LESS           DEFAULT="M q e h15 z23 b80"
      NNTPSERVER     DEFAULT=localhost
      PATH           DEFAULT=${HOME}/bin:/usr/local/bin:/bin\
      :/usr/bin:/usr/local/bin/X11:/usr/bin/X11

一些特殊的变量，注意加转意字符“\”

      DOLLAR         DEFAULT=\$
      DOLLARDOLLAR   DEFAULT=        OVERRIDE=\$${DOLLAR}
      DOLLARPLUS     DEFAULT=\${REMOTEHOST}${REMOTEHOST}
      ATSIGN         DEFAULT=""      OVERRIDE=\@

6.6.8. 开发者

pam_env was written by Dave Kinchlea .

6.7. pam_exec - 外部命令调用模块

pam_exec.so [ debug ] [ expose_authtok ] [ seteuid ] [ quiet ] [ log=file ]
command [ ... ]

6.7.1. 描述

顾名思义，pam_exec这个模块可以用来调用外部命令。

6.7.2. 选项参数

debug

     打印调试信息

expose_authtok

    During authentication the calling command can read the password from stdin
    (3).

log=file

     被调用命令执行时的输出信息被记录到file中。

quiet

     默认情况下如果外部命令执行失败，则pam_exec模块会输出外部命令的状态。使用这个quiet选项后，则不会输出外部命令的状态，保持安静。

seteuid

     默认情况下，pam_exec模块将会以调用进程的真实用户ID来执行外部命令。使用这个选项后，外部命令将会以另外一个有效的用户ID执行。（不知道这个ID是不是随机的）

6.7.3. 模块所支持的类型

auth, account, password and session

6.7.4. 返回值

PAM_SUCCESS

     外部命令执行成功

PAM_SERVICE_ERR

     外部命令参数错误

PAM_SYSTEM_ERR

     发生系统错误或者外部命令执行失败

PAM_IGNORE

     调用了pam_setcred，外部命令将不会被执行

6.7.5. 例子

将下面一行加入/etc/pam.d/passwd中，当某个本地用户密码发生变化后，重新编译NIS数据库。

        passwd optional pam_exec.so seteuid make -C /var/yp

执行的外部命令是：

make -C /var/yp

with effective user ID.

6.7.6. 开发者

pam_exec was written by Thorsten Kukuk .

6.9. pam_filter - 输入输出流过滤模块

pam_filter.so [ debug ] [ new_term ] [ non_term ] run1|run2 filter [ ... ]

6.9.1. 描述

该模块为用户和应用程序之间的输入输出提供一个平台。只适用于tty-base和标准输入输出程序。

为了使用这个模块的功能，需要在系统中安装一个过滤器。模块中的过滤器只提供对输入流字符的大小写转换，然后输出到输出流。（为某个程序重新编写过滤代码实现过滤功能是不太现实的）

该模块的每一个组件都可能调用所需要的过滤器。过滤程序是以调用的程序的权限运行的，而不是以用户的权限运行。因此，普通用户只能关闭他们的会话过程才能杀死过滤进程。

6.9.2. 选项参数

debug

     打印调试信息

new_term

     默认情况下，过滤器会设置一个PAM_TTY选项来指示用户与应用程序连接的终端。这个参数表示过滤器应该把PAM_TTY设置为被过滤的伪终端。

non_term

     不必设置PAM_TTY选项。

runX

     为了使这个模块能够执行一个过滤程序，应该让它知道何时执行。可以使用这个参数实现上述目的。这个参数紧跟过滤程序的路径名以及其命令行参数。

    X的值可以是1也可以是2。这指明了过滤器运行的确切时间。请察看pam(3)的手册以获得更多信息。对于每个管理组来说，都有两种方法调用模块的函数。 在authentication和session两个组件中，实际上都是分成了两个函数。在authentication组件
     中，这两个函数是pam_authenticate 和 pam_setcred，此处run1，就表示执行函数pam_authenticate中的过滤器，run2就表示执行函数pam_setcred中的 过滤器。在sesson组件中，run1表示过滤程序从pam_open_session函数运行，run2
     表示从pam_close_session函数运行。

     对于account组件，run1和run2都可能被用到
  
     对于password管理组组件，run1表示过滤程序在pam_chauthtok函数首次运行时(PAM_PRELIM_CHECK阶段)执行；而 run2表示过滤程序是在pam_chauthtok第二次运行时(PAM_UPDATE_AUTHOK阶段)执行。

filter

     过滤器的全路径，已经过滤器的命令行参数。

6.9.3. 支持的模块类型

auth, account, password and session

6.9.4. 返回值

PAM_SUCCESS

     过滤器设置成功

PAM_ABORT

     严重错误，立即中断

6.9.5. 例子

将下面一行添加到/etc/pam.d/login中，实际尝试一下这个模块的应用 :

        session required pam_filter.so run1 /lib/security/pam_filter/upperLOWER

6.9.6. 开发者

pam_filter was written by Andrew G. Morgan .

6.10. pam_ftp - 匿名访问模块

pam_ftp.so [ debug ] [ ignore ] [ users=XXX,YYY, ...]

6.10.1. 描述

pam_ftp模块提供插入式的匿名ftp访问模式。

该 模块可以截获用户的用户名和密码。如果用户名为ftp或者anonymous，而用户的密码是以@分割的，它就会把@前后两部分分别设置为 PAM_RUSER和PAM_RHOST选项的值；用户名(PAM_USER)被设置为ftp。模块验证成功。在其它情况下，这个模块就会通过 PAM_AUTHTOK选项返回需要输入密码和验证失败的信息。

该模块并不安全而且容易被利用。

6.10.2. 选项参数

debug

     打印调试信息

ignore

     忽略用户的email地址

ftp=XXX,YYY,...

     使用等号之后给出的用户名代替ftp或者anonymous，作为匿名FTP的用户名。匿名访问者需使用列表中的用户名进行匿名访问，返回的用户名是列表中的第一个，即XXX。

6.10.3. 支持的模块类型

auth

6.10.4. 返回值

PAM_SUCCESS

     认证成功

PAM_USER_UNKNOWN

     未知的用户名

6.10.5. 例子

将如下一行添加到/etc/pam.d/ftpd中，实现ftp类型的匿名登录：

#
# ftpd; add ftp-specifics. These lines enable anonymous ftp over
#       standard UN*X access (the listfile entry blocks access to
#       users listed in /etc/ftpusers)
#
auth    sufficient  pam_ftp.so
auth    required    pam_unix.so use_first_pass
auth    required    pam_listfile.so \
           on

err=succeed item=user sense=deny file=/etc/ftpusers


6.10.6. 开发者

pam_ftp was written by Andrew G. Morgan .