CentOS-CentOS原始/etc/pam.d/system-auth文件内容

auth        required      pam_env.so        //登录后的环境变量。required表示一个错误则全返回错误，只不过最后返回错误

auth        sufficient    pam_fprintd.so     //指纹认证。sufficient表示如果该模块执行成功则跳过其他所有模块返回结果。

auth        sufficient    pam_unix.so nullok try_first_pass //验证用户密码的有效性。如果使用nullok参数，用户不输入密码就可以获得系统提供的服务。同时，也允许用户密码为空时更改用户密码。try_first_pass尝试在提示用户输入密码前，使用前面一个堆叠的auth模块提供的密码认证用户。sufficient表示如果该模块执行成功则跳过其他所有模块返回结果。

auth        requisite     pam_succeed_if.so uid >= 500 quiet//允许uid大于500的用户在通过密码验证的情况下登录。requisite表示执行错误则立即返回

auth        required      pam_deny.so     //对所有不满足上述任意条件的登录请求直接拒绝。required表示一个错误则全返回错误，只不过最后返回错误

 

account     required      pam_unix.so //主要执行建立用户帐号和密码状态的任务，然后执行提示用户修改密码，用户采用新密码后才提供服务之类的任务。required表示一个错误则全返回错误，只不过最后返回错误

account     sufficient    pam_localuser.so//要求将用户列于 /etc/passwd 中。sufficient表示如果该模块执行成功则跳过其他所有模块返回结果。

account     sufficient    pam_succeed_if.so uid < 500 quiet    //对用户的登录条件做一些限制，表示允许uid大于500的用户在通过密码验证的情况下登录。sufficient表示如果该模块执行成功则跳过其他所有模块返回结果。

account     required      pam_permit.so   //required表示一个错误则全返回错误，只不过最后返回错误

 

password    requisite     pam_cracklib.so try_first_pass retry=3type=    //对用户密码提供强健性检测。requisite表示执行错误则立即返回

password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok //让用户更改密码的任务。sufficient表示如果该模块执行成功则跳过其他所有模块返回结果。

password    required      pam_deny.so    //对所有不满足上述任意条件的登录请求直接拒绝。required表示一个错误则全返回错误

 

session     optional      pam_keyinit.so revoke  //表示当用户登录的时候为其建立相应的密钥环，并在用户登出的时候予以撤销。optional表示即便该行所涉及的模块验证失败用户仍能通过认证

session     required      pam_limits.so     //限制用户登录时的会话连接资源，相关pam_limit.so配置文件是/etc/security/limits.conf，默认情况下对每个登录用户都没有限制。required表示一个错误则全返回错误，只不过最后返回错误

session     [success=1 default=ignore]pam_succeed_if.so service in crond quiet use_uid   //success=1时执行本行。default=ignore用来设置上面的返回值是无法达的行为时，那么这个模块的返回值将被忽略，不会被应用程序知道。对用户的登录条件做一些限制

session     required      pam_unix.so //记录用户名和服务名到日志文件的工作，只不过最后返回错误