理解PAM与PAM感知守护进程之间的通信

Question

假设我已经将sshd(链接到libpam.so.0共享库)配置为使用/etc/pam.d/sshd，并且我有以下D2内容：

auth        requisite   pam_nologin.so
auth    required        pam_env.so
auth    required        pam_unix.so     try_first_pass 
auth    required        pam_google_authenticator.so
account     requisite   pam_nologin.so
account required        pam_unix.so     try_first_pass
password        requisite       pam_cracklib.so
password        required        pam_unix.so     use_authtok nullok shadow try_first_pass 
session     required    pam_loginuid.so
session required        pam_limits.so
session required        pam_unix.so     try_first_pass 
session optional        pam_umask.so
session optional        pam_systemd.so
session optional        pam_env.so
session  optional       pam_lastlog.so   silent noupdate showfailed

我是否正确地指出，PAM在每个堆栈的末尾告知sshd成功或失败？因此，首先处理auth设施，然后将结果返回sshd，然后处理account设施，然后将account堆栈的结果返回sshd，等等。当经过身份验证的会话结束时，PAM是否由守护进程通知？

Answer 1

从某种意义上说，这就是正在发生的事情，但我不会这样说。因为PAM不主动通知sshd，而是通过函数调用(如pam_authenticate、pam_acct_mgmt等)请求PAM。并根据结果采取行动。PAM也不会自动知道会话何时关闭，但必须通过pam_close_session通知(因为会话可以从另一个应用程序中关闭)。

您可以查找openssh的源代码，以便了解sshd在何处以及如何使用PAM。如果您对细节感兴趣，我也会推荐Linux-PAM应用程序开发人员指南。

Answer 2

如果说堆栈，您指的是auth、account、password和session，那么没有，PAM不会在每一次之后通知sshd。堆叠仅仅意味着它们一起用于做一件事情，在您的情况下，就是授予或拒绝访问。第一列是模块接口，第二列是控制标志，第三列是模块名称和参数。首先，auth验证密码，帐户确定所使用的帐户是否具有访问权限，密码用于更改密码，会话用于挂载主目录或启用邮件。控制标志是不言自明的:必需的意思是它必须是真的，如果它失败了就会忽略它，但是如果它成功的话就会继续，依此类推。在本例中，最后一个模块告诉它要为PAM使用哪个模块。

( 2)否。