文件/etc/secruity/access.conf可控制用戶登錄地點绷柒，為了使用access.conf，必須在文件/etc/pam.d/login中加入下面行：
account required /lib/security/pam_access.so
access.conf文件的格式：
permission : users : origins
其中：
permission：可以是 “+”或“-”突勇，表示允許或拒絕装盯。
user：可以是用戶名、用戶組名甲馋，如果是all則表示所有用戶埂奈。
origins：登錄地點。local表示本地定躏，all表示所有地點账磺，console表示控制臺芹敌。另外，origins也可以是某一網(wǎng)絡(luò)垮抗。
后面兩個域中加上 except是“除了”的意思氏捞。例如：除了用戶wheel、shutdown借宵、sync禁止所有的控制臺登錄：
-:ALL EXCEPT wheel shutdown sync:console
root賬戶的登錄地點不在access.conf文件中控制幌衣，而是由/etc/securetty文件控制。
必須保證/etc/pam.d/login有下面這行：
auth required pam_securetty.so
etc/securetty文件指定了允許root登錄的tty設(shè)備壤玫，由/bin/login程序讀取豁护，其格式是一個被允許的名字列表，你可以編輯/etc/securetty且注釋掉如下的行欲间。
# tty2
# tty3
# tty4
# tty5
# tty6
這時楚里，root僅可在tty1終端登錄。
關(guān)于PAM的一些解釋
熱身：
何要授予用戶特權(quán)的程序都要能夠進(jìn)行用戶認(rèn)證猎贴。當(dāng)您登入系統(tǒng)時班缎，您需要提供用戶名和口令，而后登入進(jìn)程據(jù)此以檢驗登入的合法性---確認(rèn)您就是該用戶她渴。還有除口令認(rèn)證之外的其他認(rèn)證形式达址，而且口令的存儲方式也是各不相同的。
1趁耗、說明
A沉唠、PAM可加載目標(biāo)文件(模塊)是在RedHat Linux系統(tǒng)中它們被放在了/lib/security目錄下
B、PAM庫本地系統(tǒng)配置文件/etc/pam.conf OR /etc/pam.d/目錄下的一些配置文件來設(shè)置
2苛败、# more login
#%PAM-1.0
auth required pam_securetty.so
用來控制root用戶只可以從包含在/etc/securetty文件中的終端登錄系統(tǒng)满葛。
auth required pam_stack.so service=system-auth
auth required pam_nologin.so
提供標(biāo)準(zhǔn)的UNIX nologin登錄認(rèn)證。如果/etc/nologin文件存在罢屈，則只有root用戶可以登錄嘀韧，其他用戶登錄時只會得到/etc/nologin文件的內(nèi)容。如果/etc/nologin不存在缠捌，則該模塊沒有作用锄贷。
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_stack.so service=system-auth
session optional pam_console.so
# ls -l /dev/pts/1
crw--w---- 1 root tty 136, 1 May 15 21:19 /dev/pts/1
# ls -l /dev/pts/2
crw--w---- 1 test tty 136, 2 May 15 21:20 /dev/pts/2
用戶登陸時，它將TTY設(shè)備權(quán)限改成該用戶所有曼月，當(dāng)用戶退出時肃叶，將TTY設(shè)備權(quán)限改為root所有。
# pam_selinux.so open should be the last session rule
session required pam_selinux.so multiple open
login要做兩件事十嘿，首先查詢用戶因惭，然后為用戶提供所需服務(wù)，例如提供一個shell程序绩衷。
通常蹦魔，login會提示用戶輸入密碼激率。然后對密碼進(jìn)行校驗，這項任務(wù)就是Linux-PAM完成的勿决。
上 例中三個required連續(xù)使用乒躺， 即便第一個模塊失敗了，也要完成三個模塊的校驗低缩。這是一種安全上的考慮 ---這種設(shè)計永遠(yuǎn)不要讓用戶知道他或她們?yōu)槭裁磿痪芙^嘉冒，否則會讓其更容易突破認(rèn)證∨胤保可以將“required”改成“requisite”來修改這種 認(rèn)證方式讳推。如果有任何“requisite”模塊以失敗返回，整個PAM認(rèn)證將終止再調(diào)用其它模塊也以失敗返回玩般。
3银觅、pam_unix認(rèn)證模塊
所屬類型： account; auth; password; session
功能描述：該模塊是標(biāo)準(zhǔn)UNIX認(rèn)證模塊pam_unix的替代模塊。
在 作為auth類型使用時坏为，此時該模塊可識別的參數(shù)有debug究驴、audit、use_first_pass匀伏、try_first_pass洒忧、 nullok、nodelay够颠，主要功能是驗證用戶密碼的有效性熙侍，在缺省情況下（即不帶任何參數(shù)時），該模塊的主要功能是禁止密碼為空的用戶提供服務(wù)摧找；
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth required /lib/security/$ISA/pam_deny.so
在作為account類型使用時，此時該模塊可識別的參數(shù)有debug牢硅、audit蹬耘，該模塊主要執(zhí)行建立用戶帳號和密碼狀態(tài)的任務(wù)，然后執(zhí)行提示用戶修改密碼减余，用戶采用新密碼后才提供服務(wù)之類的任務(wù)综苔；
account required /lib/security/$ISA/pam_unix.so
account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account required /lib/security/$ISA/pam_permit.so
在 作為password類型使用時，此時該模塊可識別的參數(shù)有debug位岔、 audit如筛、 nullok;、not_set_pass抒抬、use_authtok杨刨、try_first_pass、use_first_pass擦剑、md5妖胀、 bigcrypt芥颈、shadow、nis赚抡、
remember爬坑，該模塊完成讓用戶更改密碼的任務(wù)；
password requisite /lib/security/$ISA/pam_cracklib.so retry=3
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5
shadow
password required /lib/security/$ISA/pam_deny.so