Voici la liste (exhaustive) des modules Linux PAM fournies dans sa version 0.79. Notez que certains ne sont généralement pas utilisés dans une configuration réelle, ils servent d'exemples ou d'outils de debug.
Ce module permet via un fichier de configuration (par défaut /etc/security/access.conf, peut être surchargé via l'argument accessfile) de restreindre ou autoriser l'accès à une liste d'utilisateur avec
Implémente les appels suivants :
pam_sm_acct_mgmt
Vérifier la pertinence d'un mot de passe lors de sa mise à jour par l'utilisateur.
Tableau 6. Paramètres pam_cracklib
| debug | Active le mode debug |
| type=XXXX | Utiliser pour le prompt: "New XXXX password" |
| retry=N | Nombre d'essai avant de retourner une erreur (par défaut 1) |
| difok=N | Nombre de caractères pouvant être identiques au mot de passe précédent |
| difignore=N | Longueur minimale avant d'ignorer difok |
| minlen=N | Longueur minimale du nouveau mot de passe |
| dcredit=N | Poids d'un chiffre |
| ucredit=N | Poids d'une majuscule |
| lcredit=N | Poids d'une minuscule |
| ocredit=N | Poids d'un autre caractère |
| use_authtok | Utilise le mot de passe fourni via PAM_AUTHTOK |
Ce module aide l'administrateur système à débugger (et comprendre) les mécanismes de PAM. Son comportement est défini via les arguments suivants.
Permet de définir les limites d'utilisation des ressources systèmes (man setrlimit) à la connexion de l'utilisateur.
Vérifie la présence d'un objet dans une liste.
Tableau 8. Paramètres pam_listfile
| item | Valeur parmi : tty, user, rhost, ruser, group, shell |
| sense | Action à prendre si l'objet est trouvé dans la liste. (si non trouvé, décision inverse). Valeur parmi : allow, deny |
| file | Fichier liste |
| onerr | Action à prendre en cas d'erreur du module (exemple : fichier introuvable). Valeur parmi : succeed, fail |
| apply | Domaine d'application. Valeur parmi : user, @group. Cet argument n'a de sens que pour les objets de type tty, rhost, shell |
Vérifie simplement que le nom de l'utilisateur est présent dans /etc/passwd ou autre fourni en argument.
Permet la création du répertoire utilisateur (homedir), très utilisé pour une authentification centralisée (de type Kerberos, NIS ou bien encore LDAP).
Affiche le fichier /etc/motd (ou celui passé via l'argument motd) à l'ouverture de session.
Si le fichier /etc/nologin est présent, tous les utilisateurs (à l'exception de root) seront rejettes en affichant le contenu de ce fichier. Si ce fichier n'existe pas, la valeur PAM_IGNORE est retournée (ce comportement est modifiable via l'argument successok).
Retourne PAM_SUCCESS si l'UID de l'utilisateur appelant (c'est à dire celui avec lequel vous appelez PAM) est 0. En utilisant ce module associé au mot clé sufficient, cela permet à l'utilisateur root de ne pas avoir à fournir de mot de passe.
Ce module refuse la connexion en utilisateur root si le TTY utilisé n'est pas listé dans le fichier /etc/securetty.
Défini un contexte de sécurité (security contexte) SELinux lors de la connexion de l'utilisateur.
L'un des modules les plus utilisés. En effet, celui-ci verifie l'idendité de l'utilisateur via les fichiers /etc/passwd et /etc/shadow. Il permet également la mise à jour du mot de passe.
Tableau 14. Paramètres pam_unix
| debug | Active le mode debug |
| audit | Plus d'infos qu'en mode debug |
| use_first_pass | Utilise les variables PAM pour lemot de passe |
| try_first_pass | Utilise - si disponible - les variables PAM |
| use_authtok | Idem à use_first_pass mais renvoie faux si PAM_AUTHTOK n'est pas défini |
| not_set_pass | Ne défini pas PAM_AUTHTOK |
| shadow | Utiliser les mécanismes shadow |
| md5 | Crypter (en fait hashé) les mot de passe au format md5 |
| bigcrypt | Crypter les mots de passe au format DEC C2 |
| nodelay | Supprime le délai d'une seconde en cas d'authentification invalide |
| nis | Utilise les RPC NIS pour la mise à jour du mot de passe |
| remember=N | Retiens les N derniers mot de passes dans le fichier /etc/security/opasswd (au format MD5) |
| broken_shadow | Ignore les erreurs liées à la lecture des informations shadow |
| likeauth | TODO |
| nullok | TODO |
| nullok_secure | TODO |
| min=N | Longueur minimale du mot de passe |
| max=N | Longueur maximale du mot de passe |
Module de diagnostic. En effet, il se contente de retourner PAM_IGNORE. Son but est d'enregistrer un message de log (via syslog).
Autorise l'authentification vers l'utilisateur root uniquement pour les membres d'un goupe donné (par défaut wheel).
Tableau 15. Paramètres pam_wheel
| debug | Active le mode debug |
| use_uid | Contrôle l'uid de l'utilisateur courant au lieu de celui d'origine (utile pour une configuration avec su par exemple) |
| trust | Retourne PAM_SUCCESS au lieu de PAM_IGNORE si l'utilisateur fait bien partie du groupe wheel |
| deny | Retourn PAM_IGNORE si l'utilisateur fait partie du groupe wheel (inverse le comportement) |
| group=XXXXX | Nom du groupe (par défaut wheel) |
| root_only | N'effectue le test que si l'uid demandé est 0 |