刚刚，美国两个全国性的数学教师协会联合发表一个报告认为，数学教育是一个机构化制度化的种族歧视。学校通过数学的学习成绩人为设定障碍，阻止某些族裔发展，造成社会不平等。报告更直白地说，这种做法必须改变。数学教育与成绩，应该根据不同人种族裔作调整，不再成为歧视的工具。

我的天，这哪跟哪的事？这是一个世界强国的教育机构说的话吗？数学也会造成社会不平等,阻止某些族裔发展？这种意淫的种族歧视要把美国的教育引向何处？

看看这些日子所谓反种族歧视暴行，连哥伦布的纪念碑也被他们用大锤凿了个大窟窿。他们叫喊“推倒这个种族主义的象征吧！我们追求的是种族和经济平等的未来！” 一位手持大锤的人说：如今在巴尔地摩市，大量的非裔美国人仍然生活在贫困之中。哥伦布乃至华盛顿的纪念碑和雕像，都是美国延绵不断的白人种族主义文化的基石，这些充满了种族仇视的东西根本不该被纪念，它们以及它们所代表的罪恶体制必须被摧毁。

可他们恰恰忘记的正是这些白人带来了西方的文明，如果这都是罪恶，那人类社会在走向文明过程中的征战都会是罪恶，那我们现今的土地会建立起一个繁荣强大的国家？不能不使人想起中国文革的破四旧，那可是人类文明的灾难。

大家知道，文明发展离不开数学，用0到9这10个数字就可以把所有的数表示出来。一个十进制再加一个小数点，10个字符，你就能表示一切数字，但是这不是天生如此的，十进制进化到现在，经过了多少数学家漫长岁月的积累，才有了现在的样子，才让你能享受到有车开有网络的方便，才有你们吃好喝好再回头摧毁人类文明成果的方便。

古人说，天不生仲尼，万古长如夜。其实，天不生数学，万古也长如夜。数学的作用无所不在，数学已经是你生活中不可缺少的一部分了。要说种族歧视，那个亚裔细分法案是典型的种族歧视，我们正在为此抗议呐喊，凭空又跳出一个砸碎“旧世界”的“革命运动”，连同数学一起都被视为种族歧视。想想也是醉了。

不是吗？人类的智慧，有8成体现在数学上。不去认真的学习和研究数学，你根本就不知道人有多聪明，人又有多么的局限。同时你也大概知道自己的智力水平。也请不要把数学想的过于的简单，它不仅仅是运算和逻辑，很多的时候，它是一种哲学，一种思想。放弃了数学意味着什么，地球人都知道。

我们再学习一下美国的历史，没有哥伦布，就没有美洲大陆第一次与欧洲的持续的接触，没有哥伦布，就无法开辟后来延续几个世纪的欧洲探险和殖民海外领地的大时代。这些都对现代西方世界的历史发展有着无可估量的影响。

摧毁吧，连同美国的历史，美国的价值观一起摧毁，让人类社会倒退到饮毛茹血的时代，大家都公平。

自小羡慕美国的教育，来到美国让自己的孩子在美国上学，直至上了好的大学并且学习数学专业，我们做家长的感到很骄傲，认为此生没有虚度。可是有的人连同他们的祖代都不愿意学习，畏难数学，不愿意以自己辛勤的劳动养活自己，过上幸福的生活，与哥伦布扯得上吗？与数学有关联吗？这个报告本身就是变相的种族歧视，你怎么知道有的族裔缺乏数学天赋？

我们之所以反亚裔细分，反对AA制，就是要维护美国宪法的公平公正，是在用自己的行动保持美国宪法的尊严。同时也希望自己的后代能够处在公平竞争的起跑线上。我们鼓励孩子爬藤，是希望他们在自己的人生路上有更多的选择。但是现在看来，与其鼓励孩子爬藤不如鼓励孩子多参与社区活动，参加主流政治活动，锻炼自己的组织领导能力。

那么多才华出众的华裔孩子都挤在爬藤这棵树上，难免看不到森林。我们再争取，估计也不会完全取消种族配额。就算是爬藤成功了，出来找到好工作，依然要被AA，你一年百八十万也不会幸福，因为你在政治上还有隐形天花板。

这些年，藤校生源的结构已经在变，建校之初的与真理为友，追求光明与真知等校训已经被稀释淡化，这些年培养的学生好多都是人云亦云，头脑一盆浆糊。比尔盖茨不是大学没有毕业，扎克伯格不也是哈佛肄业生？如果都不去爬藤，优秀的人才进不去，那藤校本身的价值也会大打折扣。

多年来，在华裔眼里，爬藤是一种积极向上，奋发图强，锐意进取，勇于接受挑战的精神。我们把这种精神转放在美国主流政治的视野上，让我们的下一代舍弃一根藤，放眼大森林，通过参与政治提升本族裔的社会地位，做一个对社会有用的人，做一个对家庭有担当的人，到那时，他们会得到真正的幸福，那种亚裔细分，那种AA或许会烟消云散。

美国的教育是人类文明的组成部分，美国教育何处去？事关美国的繁荣强大，事关人类的文明进步

wasmyemailread 是一个很有用的免费邮件打开统计工具，你只需要输入一个接收统计报告的邮箱地址，然后选择一张图片，把图片地址贴到你要发的邮件正文中，当用户打开邮件时，就触发了图片加载，你就会收到一封邮件被打开的报告邮件。

wasmyemailread 官网：http://www.wasmyemailread.com/

安卓分应用代理教程-绕行模式，如：让代理绕过QQ，微信等软件，让他们不走代理，好用，流畅丝滑！
 要求：安卓5.0+ (如果是安卓4必须root)
1、打开客户端，点击 「路由」 -选 「绕过局域网及大陆地址」。
2、打开「分应用代理」开关。 
3、进入「分应用代理」，打开「绕行模式」，然后在下方选择你「不想代理的软件」。
4、设置完毕 ， 那么开启代理后，就绕过了你选择的软件，让它们不走代理

https://ccradb.appspot.com
http://www.wengewang.org/read.php?tid=26753
http://antidang.blogspot.com/2010/06/blog-post_426.html

搜了一下Ubuntu怎么下载BT，花了五分钟弄了一下已经可以下载了，记录一下过程：
首先 需要安装俩软件 transmission-daemon和transmission-cli
我是直接以Root用户登录的，直接输命令下载就好：
apt-get install transmission-daemon transmission-cli
它有提供一个网页接口，也就是说不用每次都敲命令行直接网页上传种子就ok
改一下配置文件，先要确保守护进程已经关闭了，不然更改没法保存；
输入命令：service transmission-daemon stop
然后修改配置文件 ： vi /etc/transmission-daemon/settings.json
自己可以先设置个目录，然后把路径写进去：
// 下载目录，用户和组必须设置为”debian-transmission”,
// 否则会出现”permission denied”错误
“download-dir”: “/PATH/TO/DOWNLOAD”,
// 远程访问web需要设置”whitelist”, “*”表示通配符
“rpc-authentication-required”: false,
“rpc-whitelist”: “127.0.0.1,*.*.*.*”,
“rpc-whitelist-enabled”: false,
把上面这些选项对照着改成一样的保存就ok；
安装的时候会自动添加 名为 debian-transmission  的用户和组
到相应的目录 更改 文件夹的用户和组就好了：
chown debian-transmission:debian-transmission download
做完这些之后 就可以开启服务了：
service transmission-daemon start
有时候配置文件有错误会开启不成功，但是会显示成功，需要确认一下是否成功：
service transmission-daemon status
都ok的话 就打开浏览器，输入：
http://ip:9091/
就可以看到：


点击左边那个文件夹打开的图标就可以上传种子或者直接输入网址了。
下载完之后,不想继续上传做种的话,把服务停止就ok.

http://www.history.com

今年8月初，美国司法部宣布将对哈佛大学在招生过程中是否歧视亚裔学生展开调查。这件事在国内也引起了很大的关注，连新华社都发了报道。

但是，整件事背后的是非曲直非常复杂，不是一个简单的‌‌“歧视亚裔‌‌”、‌‌“歧视华人‌‌”可以概括的。

其中涉及到两个核心问题：

第一，是在一个社会里，如何处理平等和正义的关系。

第二，在一个白人和黑人互相争权夺利的社会里，亚裔和华人往往难免被当成枪使的命运，这一次就是特朗普政府把华人当枪使的典型例子。

客观地说，包括哈佛在内的美国顶尖大学，在录取新生时一贯的做法的确存在对亚裔不太平等的现象。

最实锤、也是被引用最广泛的证据，就是SAT成绩的差异。

美国大学本科录取新生，都要看SAT考试的成绩，就好像申请研究生要看托福和GRE成绩一样。

有调查发现，在很多顶尖大学，亚裔学生平均要比白人学生的SAT成绩高出140分左右，才能获得同等的待遇。

这140分，就被有些人称为‌‌“亚裔税‌‌”，Asian Tax，意思是身为亚裔，就必须要交这样的智商税。

为什么要这样区别对待？最直接的原因就是，亚裔学生太聪明了，考试太厉害了，总体上亚裔孩子的考分要比白人和黑人以及其他族裔高出一大截。

亚洲有五十多个国家，因此亚裔也是一个十分庞大但是又模糊不清的概念。但是在涉及到考试和教育上，考分高的主要是中日韩三个东亚国家的孩子，其中又以华裔考生人数最为庞大。

东亚国家历来有重视教育的传统，到了美国的中国移民，更是倾尽全力、不计代价要把孩子送进顶尖名校，从而达到改变自身社会地位、冲破阶层壁垒的目的。

再加上另外一支庞大的华人力量——来自中国大陆、台湾和香港的学生，人数就更加可观。

因此，这样区别性对待，受害最大的当然就是华人。

如果大学录取新生时不考虑种族因素，所有族裔的考生按照一样的标准选拔，那么，尽管亚裔在全美国人口中所占的比例非常小，但是却可能占掉顶尖学校里绝大多数的新生名额。

而且，随着中国移民和亚裔人口的上升，这样的趋势还可能愈演愈烈。

面对这样的形势，美国的大学和中学通常有两种做法。

第一种，是在录取的时候完全不考虑申请者的种族因素，所有人参照一样的标准，不对亚裔和华人做任何人为限制。

在这样的学校里，华人和亚裔学生很自然地就成为了大多数。

其中一个典型的代表，是纽约最好的精英私立高中史岱文森中学（Stuyvesant High School）。

纽约市教育局的网站上每年都有全市每一所学校录取新生的各项统计，从上面可以查到史岱文森中学2017年的新生里，亚裔占了惊人的72.25%，白人只有17.78%，黑人更是只有0.8%。

要知道，整个纽约的人口里，亚裔不过只占10%多一点。

另一个代表是加州的伯克利大学。早在2007年，《纽约时报》就专门写过伯克利的华人新生越来越多的现象，把这所学校称为‌‌“小亚洲‌‌”。

文章里有这么一段：

‌‌“在广场、自助餐厅、教室、自习室、宿舍甚至是快餐店里，到处都能听到中文。普通话就像是这所大学的背景音乐，夹杂在广东话、英语、西班牙语等其他语言和源源不绝的施工声里……对于很多学生来说，中文是他们的第一语言。‌‌”

那一年，伯克利的亚裔新生比例，占到了40%以上。

还有一个典型代表，是哥伦比亚大学。了解哥大的人，大概都对学校里中国学生人数之多有些了解，其中尤以统计系为甚。

2015年，曾经有人把哥大统计系的学生名单发到网上，我当时统计了一下，总人数231人，其中名字一看就是中国人的有190人，占82%；如果把看起来像日韩港台的名字都算在一起，也就是所谓的亚裔，则占总人数将近90%。

类似的例子还有很多很多。在加州一些华人多的小城市，有不少白人孩子因为在中学里竞争不过华人孩子，压力太大，所以只能全家搬到华人少的地方。

第二种做法，就是以哈佛大学为代表，在录取的时候针对亚裔和华裔做一些人为的限制，提高亚裔孩子的入学门槛，强行把新生总人数里的亚裔比例降下来。

也就是说，一个亚裔孩子在申请哈佛的时候，他需要竞争的对手是其他所有的亚裔——即使他的分数要远远超过白人和黑人孩子，但只要比其他亚裔孩子的分数低，他仍然没有进哈佛的机会。

另一个代表是密歇根大学。有统计发现，2005年入读密歇根大学的亚裔学生，录取率只有54%，而黑人和西语裔学生的录取比例则分别是71%和79%。

而这些亚裔学生的SAT成绩中位值，要比西语裔学生高出140分，比黑人学生更是要高出240——要知道SAT的总分也才只有1600分。

每10个申请该校的亚裔学生，只有5个人能被录取；每10个申请的黑人孩子，则有7个人能被录取。

尽管这10个亚裔孩子的考分，全部要比那10个黑人孩子的考分高出很多。

造成的结果就是，亚裔孩子进好大学的难度，要比其他族裔高得多，简直就是地狱级的难度。

我有朋友的孩子SAT考了1540分仍然闷闷不乐，因为这意味着他进不了哈佛。这个分数，给黑人孩子和白人孩子是高枕无忧的高分，而对于华人孩子来说，则是‌‌“Asian fail‌‌”，亚裔式失败。

当然，采取第二种做法的学校，绝对不会公开承认这么做，不会承认针对每个族裔有一个‌‌“配额‌‌”，一旦承认就会给自己惹来无穷无尽的麻烦。

所以在实际操作中，他们会找出各种各样的借口，设置其他的选拔标准，比如说SAT成绩不是他们考核新生的唯一标准，比如说他们更看重的是动手能力、实践经验等等。

哈佛这二十多年亚裔学生申请人数大幅增加，但最后录取的新生中亚裔比例却一直稳定在20%左右、甚至略有下跌，就是最好的证明。

而后面的这些标准，很难量化，因此也很难找到不公平操作的证据——这就是哈佛大学这一类精英院校的阴险狡猾之处。

那么现在问题来了——

哈佛大学的这种操作，对亚裔存在明显的不平等，但这算不算歧视呢？

我个人觉得，是不算的。

首先，哈佛的出发点是为了保证学生的多元化文化背景，保证校园文化的多样性。这样做好不好，另当别论，但和歧视可能真的谈不上太大的关系。

其次，很多亚裔学生虽然擅长考试、考分很高，但的确存在背景雷同、缺乏个性的问题，因此常常会被认为是‌‌“千篇一律‌‌”。

有人就评价说，亚裔学生里，‌‌“每个人都参加过管弦乐团，或者会弹钢琴，每个人都会打网球，都希望成为医生，都写关于移民到美国的事‌‌”。

第三，我重点想说的是一个概念，叫Affirmative Action，中文一般翻译成‌‌“平权行动‌‌”。

这个概念大规模进入讨论是在上世纪六十年代，当时的总统肯尼迪提出黑人这样的少数族裔因为历史的原因在社会中处于弱势地位，得不到更好的发展机会，因此有必要给予他们额外的、倾斜性的照顾。

Affirmative Action后来被写进了1964年的‌‌“权利法案‌‌”，这几十年来一直是美国社会普遍认可的标准和做法。

‌‌“平权法案‌‌”对少数族裔、女性和其他弱势群体的保护涉及方方面面，不光是教育，还有工作、医疗、福利等等。

不用说，亚裔和华裔，也是平权法案和平权理念的受益者。

这种做法，翻译到中国，就是给少数民族考生的高考加分。

有一幅流传很广的漫画，可以很形象地说明这个问题。

左边的图表示Equality，意思是平等。这也是我上面提到的，以伯克利为代表的第一类学校的做法。

右边的图表示Equity，意思是公平正义，也就是以哈佛为代表的第二类学校的做法。



对于弱势群体予以照顾情有可原、值得提倡，体现的是一个社会的人道关怀和文明发展程度，是真正的公平。

一个理想的社会，应该考虑到公平正义，虽然在现实中，情况往往是马太效应——富者恒富，掌握了更多的资源；穷者恒穷，永世难以翻身。



从美国社会的整体状况来看，由于平权理念的普及，针对弱势群体——女性、性少数者、残障人士等等——的各种显性歧视，在过去几十年已经大大减少。

举个例子来说，在公共场所设置方便残疾人出行的盲道等残障设施，就是平权理念的体现。

普通人并不需要这些设施，但我们并不介意占用公共资源和公共财政来设置这些设施，因为对于残障人士来说这些设施的重要性不言而喻，事关他们的出行便利和人身安全。

但是现在问题又来了：

当对弱势群体的照顾并不妨碍我们的利益时，我们一般不会太反对；但是在社会总体资源有限的情况下，假如对弱势群体的照顾妨碍了其他人利益时，又该怎么对待呢？

大学和中学的入学问题，就是这样一个零和游戏——录取学生的总人数总是有限的，照顾了弱势群体，势必就会减少其他群体的招生名额。

正因为如此，在美国不同意平权理念的也大有人在，争议和诉讼都很多。可以说，平权法案是这半个多世纪以来在美国争议最大的法律之一。

其中很多诉讼，就是像这次哈佛大学引起的麻烦一样，针对的是学校录取时基于种族因素所作出的特殊照顾。

只是在过去，提出争议的一般都是白人。

有意思的是，亚裔和华裔本来是属于平权法案保护的少数族裔，但是在教育问题上，亚裔和华裔却因为自身太过优秀，反而成为了‌‌“多数族裔‌‌”，成为了被牺牲的‌‌“受害者‌‌”。

这一次司法部对哈佛大学的调查，被摆出来作为例子的也是一个叫做Austin Jia的华裔学生。

可是且慢，这一次提起诉讼的，却是一个叫做Edward Blum的白人创办的一个民间机构。

这个Edward Blum一直把平权法案视为眼中钉，认为这个法案对白人造成了反向歧视。

他曾经代表白人学生发起过十多次诉讼，而他的最终目的就是废除平权法案，在美国社会继续维持白人的特权。

这一次的诉讼，其实是在2015年就提了出来，只不过在奥巴马政府时期被搁置了下来。

特朗普上台前曾经许诺过要对平权法案作出改变，这一次美国司法部重启对哈佛大学的调查，可以看成是特朗普在兑现他的选举承诺，也可以看成是美国社会正在发生变化的无数迹象和信号中的一个。

当初很多华人选民之所以支持特朗普，其中一个很重要的原因就是出于对平权法案损害华人子女教育平等的担忧和愤怒。

在一个社会里，如何平衡平等和正义之间的关系？可能不会有一个完美的答案。

如何改变哈佛对亚裔学生人数设限的做法？也很难找到一个完美的做法。

可是我知道的是，一旦‌‌“平权‌‌”的理念真的被抛弃，一旦美国重新变成一个对弱势群体没有丝毫保护和照顾意识的国家，真正得到维护的绝对不会是华人的利益。

这次调查哈佛的真正目的，是废除平权行动，消除这个原本深入人心的理念，让白人重新夺回他们已经失去的权利。

这也是为什么我说，这次看起来轰轰烈烈的华人反歧视运动，其实不过是华人被当枪使了而已

服务器上的MySQL出现了一个不算太陌生的错误“Too many connections”。平常碰到这个问题，我基本上是修改/etc/my.cnf的max_connections参数，然后重启数据库。但
是生产服务器上数据库又不能随便重启。
没办法，只好想办法手动去释放一些没用的连接。
登陆到MySQL的提示符下，数据show processlist这个命令，可以得到所以连接到这个服务器上的MySQL连接：
然后，你可以看到像上面这样的MySQL数据连接列表，而且每一个都会有一个进程ID号（在上表的第一列）。我们只要输入这样的命令：
其中1180421为你在进程列表里找到并且要杀掉的进程号.

来自：http://doc.linuxpk.com/5214.html
联系：linuxmine#gmail.com
Linux-PAM是一组共享库，使用这些模块，系统管理者可以自由选择应用程序使用的验证机制。也就是说，勿需重新编译应用程序就可以切换应用程序 使用的验证机制。甚至，不必触动应用程序就可以完全升级系统使用的验证机制。(2002-07-09 13:08:42)

1.简介
Linux-PAM(Pluggable Authentication Modules for Linux.基于Linux的插入式验证模块)是一组共享库，使用这些模块，系统管理者可以自由选择应用程序使用的验证机制。也就是说，勿需重新编译应用 程序就可以切换应用程序使用的验证机制。甚至，不必触动应用程序就可以完全升级系统使用的验证机制。
在历史上，需要对用户进行验证的 应用程序，必须同某种验证机制编译到一起。例如，传统的UN*X系统是使用密码对用户进行校验的。用户输入的密码经过crypt加密后，然后和/etc /passwd文件中的密文进行比较。在这种系统中，如果优先权的识别不是基于这种方式，就需要通过用户识别符和用户组识别符对优先权进行验证。服务和应 用程序可以使用基于用户和用户组识别的验证方式。通常，用户组的分配是通过/etc/group文件。
不幸的是，随着计算机速度的加快和网络的大范围普及，使用这种验证方式越来越不安全了。因此，人们开发了许多新的验证方法。
Linux-PAM工程的目的就是分离应用软件和验证机制的开发。通过验证函数库可以实现上述目的。PAM库由本地的系统配置文件 /etc/pam.conf或者/etc/pam.d/目录下的一些配置文件来设置。而模块以动态可加载目标文件(使用dloptn(3)函数打开)的形 式保存在/usr/lib/security目录中。
2.关于本文的一些说明
在开始阅读本文时，你应该清楚本文假定特定的文件是在特定的目录中。我们遵照RFC-86的约定。有些Linux发布把这些文件放在不同的位置，因此如果你的系统是象RedHat之类的发布，那么你应该谨慎使用本文提供的例子。
例如，本文假设PAM可加载目标文件(模块)是在/usr/lib/security/目录下，而在RedHat Linux系统中它们被放在了/lib/security目录下。因此，使用本文的例子时应该注意进行必要的转换。
3.综述
我们从一个例子开始讨论。首先找一个能够为用户提供服务的应用程序，login就是一个这样的程序。login要做两件事，首先查询用户，然后为用户提供所需服务，例如提供一个shell程序。
通常，login会提示用户输入密码。然后对密码进行校验，这项任务就是Linux-PAM完成的。
从程序员的角度看，Linux-PAM的任务就是校验用户的合法性。
Linux-PAM具有很大的灵活性，系统管理者可以通过它自由选择使用的验证方式。你也可以自由选择应用程序使用的验证方式。Linux-PAM能够提供的验证方式多种多样，从绝对信任(pam_permit)到视网膜扫描、音频分析以及一次性口令，不一而足。
为了描述Linux-PAM的灵活性，我们可以假想一种情况：一个系统管理者(父母)希望提高用户(他们的子女)的数学能力。他/她就可以通过一个孩子 们非常喜欢的游戏“Shoot ’em up game”达成上述目的，当然前提是这个游戏能够使用PAM提供的验证机制。验证可以设置：每次孩子们要玩游戏时，都需要回答出一组小于12的随机数的乘 积。这样孩子们每次玩游戏之前都可以练习乘法运算。随着他们的成长，可以增加数字的大小。
Linux-PAM处理四种类型的任务：验证管理(auth)、帐户管理(account)、会话管理(session)和口令管理(password)。应用程序使用的管理方式通过相关的Linux-PAM配置文件设置。管理功能是有配置文件指定的模块完成的。
应用程序X，它通过一些接口调用Linux-PAM库，而自己并不知道使用的验证方法。Linux-PAM库读出PAM配置文件的内容，根据配置文件加 载程序X需要的模块。这些模块进入某个管理组并且按照配置文件设置的顺序层叠在一起。它们为应用程序执行各种验证任务。应用程序和用户之间通过 conversation函数实现信息交换。
3.1 入门
下面是Seth Chaiklin说的一段话：
从这一点来看，PAM应该工作在理想世界中，在这里所有的应用程序都没有错误。然而，事实远非如此。因此，如果你要使用PAM，需要考虑一些实际的问题。
如果你把Linux用作一个单用户系统，或者系统中的用户是相互信任的，那使用PAM没有多大意思。
你可以在没有重要东西的系统上取消PAM，这实际上可以带来一些方便。使系统象Win95。
在网络环境下，就需要考虑用户验证的问题了。
如果你使用Linux作为一个服务器，用它来提供一些不同的服务，这时PAM就体现了它的价值。一般情况下，通过使用不同的模块，程序可以搜索各种密码数据库，而程序本身勿需改写。下面是一些例子：
apache有一个模块能够提供PAM服务。因此，对于特定目录的验证可以通过PAM完成，这意味着大量现有的PAM模块可以用来进行验证工作，包括RADIUS、NIS、NCP。
pppd有一个使用PAM验证的版本(来自RedHat)。
我可以把PAM由于任何需要验证的程序吗？
可以说能,也可以说不能。能，是指如果你能够修改源代码，就可以加入PAM验证功能；不能是指如果你无法修改源代码，那么在可执行文件中是无法加入PAM验证功能的。
我怎样才能区分程序是否使用了PAM验证？
使用ldd命令，如果这个程序的使用的动态连接库没有libpam和libpam_misc，那它肯定不使用PAM验证。然而，还有可能已经包含这两个库了，但是因为某些问题，程序无法正常工作。因此需要更好的方法来测试。
对于需要使用PAM的程序，需要在/etc/pam.d目录中为其设置配置文件。配置文件的名字被编写进程序源代码中，通常和程序的名字是一样的，但不 总是这样。例如：有个程序叫作pamprog，它的PAM配置文件是/etc/pam.d/pamprog。在配置文件中，只有下面两行： auth required pam_permit.so
auth required pam_warn.so
现在对其进行测试。第一行，表示所有的用户都允许通过；第二行表示想syslog中写入一条警告信息。如果测试成功，就表示程序能够使用PAM进行验证。然后你可以在配置文件中加入更为复杂的验证功能。
4.Linux-PAM配置文件
Linux-PAM的目标就是为系统管理者提供最大限度的灵活性。系统管理者可以通过两种形式对Linux-PAM进行配置：单一配置文件/etc/pam.conf；或者是/etc/pam.d/目录。这一节我们将讨论其配置文件的语法。
4.1 配置文件的语法
读者首先应该明白Linux-PAM的记号是大小写敏感的。有两个特殊的符号：#和。配置文件中的注释以#开头，一般配置文件中每行是一个入口(除了注释)，但是如果某个入口的定义很长，可以通过使用转义符回行，而下一行也被看作是这个入口的一部分。
一般/etc/pam.conf文件每行都是这种格式：
service-name module-type control-flag module-path arguments
下面我们将对每个记号进行解释。除了这种方式之外，还可以使用/etc/pam.d/目录对Linux-PAM进行配置，稍后我们将对这种方式进行讲述。
service-name
为这个入口分配的服务名。通常这是给定应用程序的会话名。例如：ftpd、rlogind、su等等。
Linux-PAM还为默认的验证机制保留一个特殊的服务名，就是OTHER，大小写均可。注意，如果某个模块指定了以命名的服务，那OTHER就被忽略。
modle-type
Linux-PAM当前有四种类型的模块：
auth
这种类型的模块为用户验证提供两方面的服务。
让应用程序提示用户输入密码或者其它的标记，确认用户的合法性；
通过它的凭证许可权限，设定组成员关系(不同于上面讨论的/etc/groups文件)或者其它优先权。
account
这类模块执行基于非验证的帐户管理。它主要用来限制/允许用户对某个服务的访问时间，当前有效的系统资源(最多可以有多少个用户)，限制用户的位置(例如：root用户只能从控制台登录)。
session
这类模块的主要用途是处理为用户提供服务之前/后需要做的一些事情，包括：记录打开/关闭交换数据的信息，监视目录等。
password
用来升级用户验证标记。
control-flag
控制标志用来设置验证成功或者失败后PAM需要作出的反应。因为模块可以层叠(stacked,同样类型的模块依次执行)，控制标志可以决定每个模块的 重要性。应用程序不会意识到单个模块成功或者失败，它只会收到Linux-PAM库成功或者失败的综合反应信息。层叠模块的执行顺序取决于/etc /pam.conf文件的入口顺序，入口列前的模块先执行。从Linux-PAM 6.0开始可以使用两种语法定义控制标志。
简单的一种是使用单一关键词定义控制标志。有四个这样的关键词：required、requisite、sufficient和optional。
Linux-PAM通过如下方式解释这些关键词：
required
表示即使某个模块对用户的验证失败，也要等所有的模块都执行完毕之后，PAM才返回错误信息。这样做是为了不让用户知道被哪个模块拒绝。如果对用户验证成功，所有的模块都会返回成功信息。
requisite
如果特定的模块对用户的验证失败，PAM马上返回一个错误信息，把控制权交回应用程序，不再执行其它模块进行验证。
sufficient
表示如果一个用户通过这个模块的验证，PAM结构就立刻返回验证成功信息，把控制权交会应用程序。后面的层叠模块即使使用requisite或者required控制标志，也不再执行。如果验证失败sufficient的作用和optional相同。
optional
表示即使本行指定的模块验证失败，也允许用户享受应用程序提供的服务。使用这个标志，PAM框架会忽略这这个模块产生的验证错误，继续顺序执行下一个层叠模块。
还有一种比较复杂的语法来设置控制标志，它由一组value=action形式的标记组成，标记之间以空格分开：
[value1=action1 value2=action2 …]
valueN可以是下列Linux-PAM库的返回值：success、open_err、symbol_err、service_err、 system_err、buf_err、perm_denied、auth_err、cred_insufficient、 authinfo_unavail、user_unknown、maxtries、new_authtok_reqd、acct_expired、 session_err、cred_unavail、cred_expired、cred_err、no_module_data、conv_err、 authtok_err、authtok_recover_err、authtok_lock_busy、authtok_disable_aging、 try_again、ignore、abort、authtok_expired、module_unknown、bad_item和default。最 后一个(default)能够用来设置上面的返回值无法表达的行为。
actionN可以是一个非负整数或者是下面的记号之 一：ignore、ok、done、bad、die和reset。如果是非负整数J，就表示需要忽略后面J个同样类型的模块。通过这种方式，系统管理者可 以更加灵活地设置层叠模块，模块的层叠路径由单个模块的反应决定。
ignore
如果使用层叠模块，那么这个模块的返回值将被忽略，不会被应用程序知道。
bad
它表示这个返回码应该被看作是模块验证失败。如果这个模块是层叠模块的第一个验证失败的模块，那么它的状态值就是整个层叠模块的状态值。
die
终止层叠模块验证过程，立刻返回到应用程序。
ok
告诉PAM这个模块的返回值直接作为所有层叠模块的返回值。也就是说，如果这个模块前面的模块返回状态是PAM_SUCCESS，那这个返回值就会覆盖前面的返回状态。注意：如果前面的模块的返回状态表示模块验证失败，那么不能使用这个返回值覆盖。
done
终止后续层叠模块的验证，把控制权立刻交回应用程序。
reset
清除所有层叠模块的返回状态，从下一个层叠模块重新开始。
module-path
PAM验证模块的路径。如果以/开头，就表示是完整的路径；如果不是以/打头，就表示是相对于/usr/lib/security的相对路径。
args
传递给模块的参数。类似于通常的Linux Shell命令行参数。有效的参数包括一些通用参数和特定于给定模块的参数。无效的参数将被忽略，并会把错误信息记录到syslog。
注意：配置文件中的任何一行错误都会导致验证失败，同时相关错误信息被记录到syslog。
4.2 基于目录的配置形式
从Linux-PAM 5.6版开始引入了一种基于目录的配置方式，通过/etc/pam.d/目录下的文件对PAM进行配置。这种方式比单一的配置文件具有更大的灵活性。这个目录下的所有配置文件都以某个服务名命名(小写)。
不过，这两种配置方式不能同时起作用，也就是说，你只能使用其中一种对Linux-PAM进行配置。一般/etc/pam.d/优先。
/etc/pam.d/目录下的配置文件的语法和/etc/pam.conf文件的语法相似，形式如下：
module-type control-flag module-path arguments
和/etc/pam.conf文件语法的唯一不同就是没有服务名(service-name)，服务名由文件名设置。例如：/etc/pam.d/login文件保存对login服务的设置。
这种配置方式与单一配置文件相比，具有很大的优越性：
减少了配置错误的几率。
更易于维护。
可以通过使用不同配置文件的符号连接决定系统的验证策略。
可以加快对于配置文件的解析。
可以对单个的Linux-PAM配置文件设置不同的存取权限。
更易于软件包的管理。
4.3 通用参数
下面是一些通用参数，可以被所有的模块解析：
debug
通过syslog系统调用记录调试信息。
nowarn
使模块不要向应用程序输出警告信息。
use_first_pass
使模块不提示用户输入密码，而是使用为前一个验证模块输入的密码。如果无效，则验证失败。这个参数只能用于auth和password类型模块。
try_first_pass
首先使用用户为上一个模块输入的密码进行验证，如果不行，就提示用户输入密码，这个参数只能用于auth类型的模块。
use_mapped_pass
这个参数目前还不能被任何Linux-PAM模块支持，主要因为美国加密算法的出口限制。
expost_account
通常，对于模块来说泄露用户的某些信息并非一个安全的策略。有时候用户名、起始目录或者用户使用的shell等信息都可以被攻击者用来攻击一个用户帐户。这个参数是一个适用于每个模块的标准参数，它可以使模块尽量少地泄露用户信息。
4.4 配置文件入口示例
在这一节，我们将给出一些例子，以便于理解。
4.4.1 默认策略
一个合理的OTHER入口对于加强系统安全非常重要。下面是一个非常偏执的例子。
# 默认; 拒绝访问
#
OTHER auth required /usr/lib/security/pam_deny.so
OTHER account required /usr/lib/security/pam_deny.so
OTHER password required /usr/lib/security/pam_deny.so
OTHER session required /usr/lib/security/pam_deny.so
毫无疑问，这是最安全的OTHER策略了，但是不太合理。例如：如果这个文件的其它部分编写不好，那么很容易把所有的用户挡在门外。
pam_deny模块在运行时不记录任何信息，除非用户在无法执行某个服务程序时能够与系统管理人员联系，否则系统管理者很长时间不会知道系统配置错误。
在上面例子的前面加入以下几行，系统管理者就可以获得有关的警告信息了：
# 如果程序配置错误
#
OTHER auth required /usr/lib/security/pam_warn.so
OTHER password required /usr/lib/security/pam_warn.so
这样有两行是auth模块类型，形成模块层叠。
在一个使用/etc/pam.d/配置的系统中，默认配置文件如下：
# default configuration: /etc/pam.d/other
#
auth required /usr/lib/security/pam_warn.so
auth required /usr/lib/security/pam_deny.so
account required /usr/lib/security/pam_deny.so
password required /usr/lib/security/pam_warn.so
password required /usr/lib/security/pam_deny.so
session required /usr/lib/security/pam_deny.so
对于不熟悉Linux-PAM的系统管理者，下列几行可以作为最基本的系统配置：
# default; standard UNIX access
#
OTHER auth required /usr/lib/security/pam_unix_auth.so
OTHER account required /usr/lib/security/pam_unix_acct.so
OTHER password required /usr/lib/security/pam_unix_passwd.so
OTHER session required /usr/lib/security/pam_unix_session.so
通常这足以为大多数应用程序提供验证服务了。但是，大多数并不表示全部。如果你需要打开FTP匿名登录功能，就无法满足要求了。
为了打开匿名FTP，需要使用以下的配置命令代替默认的配置(OTHER)：
# ftpd; add ftp-specifics. These lines enable anonymous ftp over
# standard UNIX access (the listfile entry blocks access to
# users listed in /etc/ftpusers)
#
ftpd auth sufficient /usr/lib/security/pam_ftp.so
ftpd auth required /usr/lib/security/pam_unix_auth.so use_first_pass
ftpd auth required /usr/lib/security/pam_listfile.so
onerr=succeed item=user sense=deny file=/etc/ftpusers
由于需要忽略默认的配置入口，所以第二行是必须要有的。这还是一个层叠模块的例子。使用sufficient控制标志，表示如果这个模块验证通过，就不必使用后面的层叠模块进行验证了；use_first_pass表示使用为前面的模块(pam_ftp)输入的密码。
5.Linux-PAM的安全问题
这一章我们将讨论如何安全使用Linux-PAM。
5.1 如果出现错误
如果发生错误，Linux-PAM可能会改变系统的安全性。这取决于你自己的选择，你可以选择不安全(开放系统)和绝对安全(拒绝任何访问)。通常，Linux-PAM在发生错误时，倾向于后者。任何的配置错误都可能导致系统整个或者部分无法访问。
能够遇到最大的问题可能就是Linux-PAM的配置文件(/etc/pam.d/*或者/etc/pam.conf)被删除了。如果发生这种事情，你的系统就会被锁住。
不过，还是有办法进行恢复的。最好的方法就是重新启动系统进入单用户模式，然后进行正确地设置。下面是David Wood在邮件中提出的解决步骤：
首先，以单用户模式启动系统，出现LILO boot:时输入： LILO boot:linux single >——此处假设使用的内核标签是linux，可以按TAB键列出可用的内核
这样你不用登录就可以进入系统了。
如果这个办法不行，你还可以使用急救盘启动系统。
假设你的PAM系统只是配置文件被破坏，先按照如下步骤进行处理： cd /etc
mv pam.conf pam.conf.orig
mv pam.d pam.d.orig
mkdir pam.d
cd pam.d
接着，使用编辑程序编辑/etc/pam.d/other文件，它应该包括以下四行：
auth required pam_unix_auth.so
account required pam_unix_acct.so
password required pam_unix_passwd.so
session required pam_unix_session.so
然后，你就可以登录了。如果还是不行，那有可能是因为输入错误或者更严重的问题。如果是输入错误，会在日志文件中留下记录，可以使用tail /var/log/messages查看。
现在，你已经重新登录到系统了。下面的工作就是重新安装Linux-PAM和其它软件(假设是RedHat系统),使用如下命令重新安装PAM软件包： rpm -Uvh –force pam-*
然后，需要安装(重新安装)libc库、util-linux、wuftp、NetKit等受影响的软件包。如果使用X系统，也需要重新安装。
5.2 不要使用脆弱的other文件
如果系统默认配置文件other的配置比较脆弱，系统很可能受到攻击的威胁。
这是一个示例配置，pam_deny模块将拒绝所有的访问，而pam_warn模块将向auth.notice日志设备发送一条警告信息：
# The PAM configuration file for the `other’ service
#
auth required pam_deny.so
auth required pam_warn.so
account required pam_deny.so
account required pam_warn.so
password required pam_deny.so
password required pam_warn.so
session required pam_deny.so
session required pam_warn.so
6.模块使用参考
这一章我们将一块介绍Linux-PAM模块的用法
6.1 access模块
6.1.1 概要
模块名
pam_access
作者
Alexei Nogin
维护者
作者
提供的管理组功能
account
系统依赖性
需要一个配置文件。默认情况下，使用/etc/security/access.conf作为配置文件，也可以指定别的文件。
网络支持
通过PAM_TTY变量获得终端名，如果这个变量没有设置，就通过ttyname()函数获得标准输入文件描述符的终端名。还可以使用 gethostname(),yp_get_default_domain(), gethostbyname()函数获得主机名、域名等信息，作为每个配置行的第三项。
6.1.2 综述
提供一种日志监控风格的登录访问控制机制
6.1.3 account组件
能够识别的参数
accessfile=/path/to/file.conf
描述
这个模块提供一种日志监控风格的登录访问控制机制，这种机制是基于登录名、主机名、域名、internet地址、网络地址或者终端名的。A. Nogin把logdaemon-5.6(作者：Wietse Venema’s)中的login_access.c文件做了许多改动，用到了这个模块中。
这个模块的行为可以使用如下参数进行修正：
accessfile=/path/to/file.conf 使用别的配置文件代替默认的配置文件/etc/security/access.conf。
示例和建议
例如：在一个NIS服务器或者一个邮件服务器上，有很多用户，但是你不想让这些用户具有登录(login)能力。这时，建议你使用这个模块。
如果你的模块放在/lib/security目录，而且使用/etc/pam.d/风格的配置，可以在/etc/pam.d/login、 /etc/pam.d/rlogin、/etc/pam.d/rsh和/etc/pam.d/ftp文件中加入下面一行，来启动这个模块：
account required /lib/security/pam_access.so
注意：除非你的系统可以忽略.rhosts文件的作用，否则这个模块无法发挥作用。其中细节请参考对pam_rhost_auth模块的介绍。
此外，在软件的发布中有一个示例access.conf配置文件。
6.2 chroot模块
6.2.1 概要
模块名
pam_chrooot
作者
Bruce Campbell
维护者
作者
提供的管理组功能
account、session、authentication
网络支持
本地主机
6.2.2 综述
这个模块为普通用户提供一个假的文件系统，例如：在他们看来的/目录实际上是/some/where/else。
如果系统中有几类用户，而你对安全问题又十分重视，就可以使用这个模块。它可以对用户能够看到的系统信息和能够运行的程序进行限制。
6.2.3 account组件
原著尚未完成
6.2.4 session组件
同上
能够识别的参数
可以使用PAM的通用参数和日志级别作为其参数。
示例和建议
提供合理的程序，例如只提供cat、ls、rm、cp和ed等。
不要滥用这个模块，例如：你可以为每个用户安装一个隔离的环境，但是这样非常浪费磁盘空间。
6.3 密码强度检查模块
6.3.1 概要
模块名
pam_cracklib
作者
Cristian Gafton
维护者
作者
提供的管理组功能
password
系统依赖性
需要libcrack库和字典/usr/lib/cracklib.dict。
6.3.2 综述
这个模块可以插入到实现password管理组功能的层叠模块中，为给定的程序提供密码强度检查。
这个模块以如下方式工作：首先调用cracklib例程检查密码强度，如果密码不易破译，就进行下面的强度检查：
新密码是否旧密码的回文。
新密码是否只是就密码改变了大小写
和旧密码是否相似。主要由difok参数控制，如果新旧密码之间不同的字符数目大于或等于这个参数就接受新的密码，这个参数的默认值是10或者新密码的 1/2。为了避免对一个很长、很复杂的密码进行查询，还可以使用 difignore参数。这个参数可以指定一个值，如果新的密码长度超过这个值，就不必进行这种检查，默认值是23。
是否新密码太短。由5个参数控制：minlen、dcredit、ucredit、lcredit和ocredit。在此就不一一介绍了。
新密码是否是旧密码的回环
这个密码以前是否用过。过去用过的密码可以在/etc/security/opasswd文件中找到。
对于标准的UNIX密码加密算法，即使没有参数，这个模块也会工作得很好。但是，对于MD5加密算法，密码可以超过8个字符，使用默认的设置将使用户很 难找到满意的密码。MD5算法的默认设置要求新密码中和旧密码相同的字符不能超过1/2，而且是强制的。例如：旧的密码是”the quick brown fox jumped over the lazy dog”，那这个密码是很难被替换的:)。除此之外，MD5算法的默认设置还允许密码长度小于5个字符。因此，对于MD5系统需要对配置做一些调整，提高 字符数的底限，减小对不同字符的比例限制。
6.3.3 password组件
能够识别的参数
debug、type=XXX、retry=N、difok=N、minlen=N、dcredit=N、ucredit=N、lcredit=N、ocredit=N、use_authtok
描述
这个模块提示用户输入一个密码，然后根据一个系统字典和一组规则检查它的强度。
默认情况下，它首先提示用户输入一个密码，如果认为强度足够，就提示用户重新输入一遍，以保证密码输入正确。完成这些动作后，就把这个密码产地给subsequent模块，由subsequent模块安装新的验证记号(也就是密码)。
这个模块的动作可以通过一些参数改变：
debug
把模块详细的行为信息写到syslog，但不包括密码信息。
type=xxx
修改提示信息。默认的提示信息是：”New UNIX password:”和”Retype UNIX password”。设置这个选项可以使xxx代替UNIX。
retry=N
改变输入密码的次数，默认值是1。就是说，如果用户输入的密码强度不够就退出。可以使用这个选项设置输入的次数，以免一切都从头再来。
difok=N
默认值为10。这个参数设置允许的新、旧密码相同字符的个数。不过，如果新密码中1/2的字符和旧密码不同，则新密码被接受。
minlen=N
密码字符个数下限加一。除了限制新密码字符的个数之外，还有一些参数可以限制每种字符(other、upper、lower和digit)的个数。minlen的默认值是9，这个值对于旧风格的UNIX密码是非常合适的，但是对于MD5系统却并不是很安全。
ucredit=N
限制新密码中最多有多少个大写字符。
lcredit=N
限制新密码中最多有多少个小写字符。
ocredit=N
限制新密码中最多有多少个其它的字符。
use_authok
不让模块执行提示用户输入密码的动作，使用前面层叠的password模块提供的密码。
示例和建议
下面我们举一个例子，看一下这个模块是如何与pam_pwdb的password组件实现层叠的：
# These lines stack two password type modules. In this example the
# user is given 3 opportunities to enter a strong password. The
# “use_authtok” argument ensures that the pam_pwdb module does not
# prompt for a password, but instead uses the one provided by
# pam_cracklib.
#
passwd password required pam_cracklib.so retry=3
passwd password required pam_pwdb.so use_authtok
下面是一个使用MD5加密算法的例子：
#
# These lines allow a md5 systems to support passwords of at least 14
# bytes with extra credit of 2 for digits and 2 for others the new
# password must have at least three bytes that are not present in the
# old password
#
password required pam_cracklib.so
difok=3 minlen=15 dcredit= 2 ocredit=2
password required pam_pwdb.so use_authtok nullok md5
6.4 拒绝模块
6.4.1 概要
模块名
pam_deny
作者
Andrew G. Morgan
维护者
当前Linux-PAM的维护者。
提供的管理组功能
account、authentication、password、session
clean code base
clean
6.4.2 综述
这个模块能够用来拒绝任何访问。它是向应用程序反馈验证失败的信息。这个模块比较适合于other文件。
6.4.3 帐户组件
描述
这个组件只是返回一个失败信息。失败的类型是PAM_ACCT_EXPIRED。
示例和建议
应用程序是通过引用Linux-PAM的帐户管理函数pam_acct_mgmt()，让用户获得系统的访问权。但是，如果把这个模块和account类型的模块层叠，用户将不能通过应用程序获得系统访问权。
下面的配置行将使任何用户都无法登录：
# add this line to your other login entries to disable all accounts
#
login account required pam_deny.so
6.4.4 验证组件
描述
这个组件只是返回失败信息，错误类型取决于应用程序调用的函数。如果应用程序试图调用pam_authenticate()函数验证用户，则失败类型是 PAM_AUTH_ERR；如果应用程序调用pam_setcred()函数，以建立和设置用户的验证凭证，则失败类型是 PAM_CRED_UNAVAIL。
示例和建议
如果想使应用程序拒绝为用户提供服务，可以在配置文件中加入以下配置行：
# add this line to your existing OTHER entries to prevent
# authentication succeeding with default applications.
#
OTHER auth required pam_deny.so
6.4.5 密码组件
描述
这个组件能够拒绝用户修改密码。如果收到修改密码的企图，它将返回PAM_AUTHOK_ERR类型的失败信息。
示例和建议
这个组件用于阻止应用程序改变用户的密码。例如，为了阻止login在旧密码失效时，自动提示用户输入新的密码，你可以在配置文件中加入以下配置行：
# add this line to your other login entries to prevent the login
# application from being able to change the user’s password.
#
login password required pam_deny.so
6.4.6 会话组件
描述
deny模块的这个组件能够阻止应用程序在主机上启动会话过程。
示例和建议
这个模块能够阻止用户启动一个shell。如果和pam_motd模块层叠，我们可以在配置文件中加入以下配置行，告诉用户现在是系统维护时间：
# An example to see how to configure login to refuse the user a
# session (politely)
#
login session required pam_motd.so
file=/etc/system_time
login session required pam_deny.so
6.5 环境变量设置/取消模块
6.5.1 概要
模块名
pam_env
作者
Dave Kinchlea
维护者
作者
提供的管理组类型
authentication(setcred)
系统依赖性
/etc/security/pam_env.conf
6.5.2 综述
使用这个模块可以设置/取消环境变量的定义。
6.5.3 验证组件
能够识别的参数
debug、conffile=configuration-file-name、envfile=/env-file-name、readenv=/0|1
描述
你可以使用固定的字符串通过这个模块设置变量或者取消对环境变量的设置。设置的环境变量值和PAM_ITEM是与或者或的关系。
这些由一个配置文件控制，默认情况下，配置文件是/etc/security/pam_env.conf。不过，可以通过connfile文件指定其它 的配置文件。配置文件的每个配置行都是以环境变量名开头，接着是两个选项：DEFAULT、OVERRIDE。DEFAULT表示：把这个变量设置为默认 值，如果不存在就把它的值设置为一个空字符串。OVERRIDE表示：使用新的值得覆盖默认值。如果OVERRIDE之后，没有定义变量值，就假定是空字 符串，而且不会执行覆盖动作。
VARIABLE [DEFAULT=[value]] [OVERRIDE=[value]]
环境变量可以以$(string)的语法使用，而PAM_ITEM可以通过@(string)的语法使用。如果string中含有$、@字符，需要在前 面加上反斜杠作为转义符，例如：$。当需要空格时，可以使用引号，但是空格不能环境变量的名字中出现。环境变量的值必须以引号分割。
这个模块也能够以KEY=VAL对的方式解析文件，每个KEY=VAL对占一行，默认文件是/etc/environment。你可以使用envfile选项改变需要解析的文件，使用readenv选项打开/关闭解析的文件。
这个模块的行为可以修改以下参数来设置：
debug
向syslog写入更多信息。
confile=filename
默认配置文件是/ec/security/pam_env.conf。这个选项指定的文件可以覆盖默认文件。不过，你必须使用完整的文件路径。
envfile=filename
默认是/etc/environment，使用这个选项指定其它的文件。也需要使用完整的文件路径。
readenv=0|1
打开(1)/关闭(0)从envfile中读取环境变量。默认情况下，这个选项为开(1)。
示例和建议
参考/etc/security/pam_env.conf文件。
6.6 过滤模块
6.6.1 概要
模块名
pam_filter
作者
Andrew G. Morgan
维护者
作者
提供的管理组功能
account、authentication、password、session
Clean code base
This module compiles cleanly on Linux based systems.
系统依赖性
需要安装pam_filter程序。
6.6.2 综述
这个模块为应用程序提供了一个插入式的过滤器。由于为某个程序重新编写过滤代码实现过滤功能是不太现实的，简直是开玩笑。这个模块能够对输入流中的大小写字符进行替换，然后输出到输出流。
6.6.3 Account+Authentication+Password+Session组件
能够识别的参数
debug、new_term、non_term、runX
描述
这个模块的所有组件都可能会执行所需要的过滤程序。过滤程序是以调用的程序的权限运行的，而不是以用户的权限运行。因此，普通用户只能关闭他们的会话过程才能杀死过滤进程。
pam_filter模块的行为可以由Linux-PAM配置文件传递的参数改变：
debug
模块运行时，syslog记录更多的信息。
new_term
作为一种默认的行为，过滤器会设置PAM_TTY选项，指示用户与应用程序进行联系的终端。这个参数表示过滤程序应该把PAM_TTY设置为被过滤的伪终端。
no_term
不必设置PAM_TTY选项。
runX
为了使这个模块能够执行一个过滤程序，应该让它知道何时执行。可以使用这个参数实现上述目的。这个参数紧跟过滤程序的路径名以及其命令行参数。
X的值可以是1和2。它表示过滤程序运行的确切时间。对于每种管理组功能，它会牵扯到不同的函数调用。
在authentication和session组件中，分别牵扯到两个函数。对于authentication管理组，这两个函数是 _authenticate和_setcred。run1表示从_authenticate函数运行过滤程序；run2表示从_setcred函数运行过 滤程序。对于session管理组，run1表示过滤程序从_open_session函数运行；run2是从_close_session函数运行。
对于account组件，run1和run2是一样的。
对于password管理组组件，run1表示过滤程序在_chauthtok函数首次运行时(PAM_PRELIM_CHECK阶段)执行；而run2表示过滤程序是在_chauthtok第二次运行时(PAM_UPDATE_AUTHOK阶段)执行。
示例和建议
你可以在login的配置文件(/etc/pam.d/login)中加入下面入口，实际尝试一下这个模块的应用：
# An example to see how to configure login to transpose upper and
# lower case letters once the user has logged in(!)
#
login session required pam_filter.so
run1 /usr/sbin/pam_filter/upperLOWER
6.7 匿名访问模块
6.7.1 概要
模块名
pam_ftp
作者
Andrew G. Morgan
维护者
作者
提供的管理组功能
authentication
网络支持
提示用户输入email地址
6.7.2 综述
这个模块的用途是提供一种插入式的匿名FTP访问模式。
6.7.3 authentication组件
能够识别的参数
debug、users=xxx,yyy,….、ignore
描述
这个模块解释用户名和密码，如果用户名是ftp或者anonymous，而用户的密码是以@分割的，它就会把@前后两部分分别设置为 PAM_RUSER和PAM_RHOST选项的值。用户名被设置为ftp。模块验证成功。在其它情况下，这个模块就会通过PAM_AUTHTOK选项返回 需要输入密码和验证失败的信息。
这个模块的行为可以使用如下参数修改：
debug
向syslog输出调试信息
users=xxx,yyy,….
使用等号之后给出的用户名代替ftp或者anonymous，作为匿名FTP的用户名。
ignore
不理会用户没有email地址。
示例和建议
在第四章中，有一个使用匿名FTP模块的例子。
6.8 组访问模块
6.8.1 概要
模块名
pam_group
作者
Andrew G. Morgan
维护者
作者
提供的管理组功能
suthentication
系统依赖性
需要/etc/security/group.conf文件。可以与libpwdb连接。
网络支持
只能通过正确设置PAM_TTY选项。
6.8.2 综述
这个模块根据用户名和发起服务请求的终端，提供组分类功能。
6.8.3 authentication组件
描述
这个模块不对用户进行验证，而是为用户赋予组成员关系。这种组成员关系是根据用户请求的服务划分的，在/etc/security/group.conf文件中以文本的方式设置。
示例和建议
想要这个模块正常工作，需要准确设置/etc/security/group.conf文件。其格式如下：
services; ttys; users; times; groups
前四项和pam_time配置文件:/etc/security/pam_time.conf或者time.conf中的相同。groups是一些以逗号或者空格分开的文本字符串，表示一些组名。如果用户的应用程序满足前四项，则用户就被加入到第五项定义的组中。
这个模块能否起作用取决于用户对文件系统的访问权限。这一点是指，一旦用户成为一个组的成员，这个用户就可能利用获得的权限试图建立一个 setgid程序。而以后，如果这个用户不再属于这个组，他就可以通过这个程序非法回到这个组中。由于这个原因，用户具有写权限的文件系统需要非常严格的 限制，如果文件系统在mount时，被设置为nosuid，那用户就无法建立和执行这样的程序。因此，使用这个模块时，用户具有写权限的所有文件系统都需 要使用nosuid参数mount。
pam_group的作用和/etc/group文件是并行的，如果用户被加入的这个模块定义的任何组中，同时也被加入到/etc/group文件中；反之亦然。
6.9 issue模块
6.9.1 概要
模块名
pam_issue
作者
Ben Collins
维护者
作者
提供的管理组功能
authentication(pam_sm_authenticate)
6.9.2 综述
这个模块能够在提示信息中，加入一个文件的内容。
6.9.3 authentication组件
能够识别的参数
issue=issue-file-name、noesc
描述
你可以使用这个模块在用户提示信息中加入一个issue文件的内容。这个模块还可以解析issue文件中的转义词，例如：x。
有效的转义码如下：
d: 当前的日期
s: 操作系统名
l: 这个终端名
m: 系统的体系(i686、spacr、pwerpc、….)
n: 系统主机名
o: 系统域名
r: 操作系统版本号
t: 当前时间
u: 当前登录的用户数
U: 和u相同，只有后缀有所不同：u的后缀是user；U的后缀是users。
v: 操作系统的版本/建立日期
这个模块的行为可以通过一下参数修改：
issue: 指定使用的文件
noesc: 关闭对转义词的解析
示例和建议
login auth pam_issue.so issue=/etc/issue

来源：http://linux.chinaunix.net/bbs/viewthread.php?tid=78260&extra=page%3D3%26amp%3Bfilter%3Ddigest
网络信息服务（NIS）是集中控制几个系统管理数据库的网络用品。NIS简化了UNIX和LINUX桌面客户的管理工作，客户端利用它可以使用中心服务器的管理文件。桌面系统的用户无需建立他们自己的/etc/passwd，他们只简单的使用维护在NIS服务器的文件即可。
提到NIS不得不先说明一下WINDOWS2000的域控制器，在局域网内有一台WIN2000域控制器，下面有一些机器加入到这个域中，在下的机器登录时，有一个选项是选择登入到本机还时登入到域内（应该是这么说的，有点记不清楚了，大概就是这个了），登入本地的密码有本机控制，但是如果登入域内，密码支有域控制器负责管理。
LINUX也是操作系统，跟WIN2000没有本质的区别，所以仔细读上段话，就能理解NIS是原理是什么样了，这时出现了一个重要的文件/etc/nsswitch.conf
NIS是一个客户机/服务器系统，ypbind是定义NIS服务器的客户端进程。一旦确定了服务器位置，客户机绑定到了服务器上，所以客户端的住处查询都发往服务器。ypserv是回答客户端查询的服务器进程。

安装ypbind客户端
这没有什么好说的。
转者注：现在用yum安装是yum install ypbind yptools
配置NIS客户端
进程ypbind这客记机的NIS域定位服务器，NIS域包括所有NIS服务器和客户机。它与DNS不同，尽管有些管理员将NIS域名等同于DNS的域名。NIS域名只对那NIS服务器和客户机起作用。
有两种方式配置NIS域名：
　nisdomainname 定义显示NIS域名
　yp.conf文件配置NIS域名。
默认地，ypbind使用nisdomainname命令返回NIS域名，向NIS服务器发出请求时在网络内广播该地址。
yp.conf文件
/etc/yp.conf定义了yp.conf配置。如果找不到yp.conf文件，ypconf进程使用nisdomainname 命令返回的NIS域名，广播定位NIS服务器。ypbind将绑定到第一个相应请求的服务器上。
========
hostname,nisdomain字符为变量。
使用ypserver配置选项为客户机指定服务器。yp.conf文件包括ypserver选项时，客户机使用命令nisdomainname返回的 NIS域名，向ypserver命令的hostname字段指定的服务器发出请求。/etc/hosts文件中必须包含该主机的IP地址，还记得我说过什么了吗，DNS是取代的HOSTS的，在DNS中设定也是可以的。ypserver选项强制客户机连接到特定的服务器上。
在yp.conf文件中使用domain选项定义了NIS域名，指出客户机是广播定位还是直接向服务器发送请求。
example:
=========
first作为域名，jh是这个域的服务器 jh在hosts中必须有相对应的IP地址
或者jh IN A 192.168.1.1还记得这条指令是干什么的吗？
－－－－－－－－－－－－－－－－－－－－－－－－
创建NIS服务器
安装ypserv
－－－－－－－－－－－
NIS服务器提供的数据库，称为NIS映射表.
创建独立服务器
如果用户只有一个NIS域服务器，建立独立服务器,如果用户NIS域中有多个服务器，就需要选择其中一个作为该域的主服务器。其他作为从服务器。
用户可以使用make命令初始化独立服务器，建立NIS映射表，文件/var/yp/Makefile包含了创建数据库的命令。
example:
－－－－－－－－－
创新主从服务器
使用ypinit命令初始化主服务器，常见NIS映射表。默认地.ypinit同make命令给出的操作一样。要创建相对于从服务器的主服务器，用户需要编辑/var/yp/Makefile文件。在Makefile文件中找到NOPUSH设置为NOPUSH=false.
修改后，运行ypinit -m
exmpale:
累！！！！
从服务器配置比主服务器简单。主服务器保存了所有的映射表。从服务器只需知道哪个是主服务器即可。ypinit -s 配置从服务器。
example:
salve的IP地址也必须保存在hosts中。
－－－－－－－－－－
安全性
用户可以在/var/yp/securenets文件中定义服务器的安全性能。
example:
授权192.168.1.0子网的用户可以访问服务器。
—————–
ypserv.conf文件
用户必须使用securenets文件，未必用ypserv.conf定义安全性。
语法如下：
字段如下
　host 授权或禁止访问的计算机，它由地址/掩码对确定.例如 192.168.1.0/255.255.255.0 . *表示所有主机
　map 该字段表示访问的NIS映射表项名称。例如：passwd.byuid。*表示映射表　　　中所有的字段都可用。
　security 授权访问类型
　　　none 允许访问，不加强安全性。
　　　port 允许特权端口访问。只接收源端口小于1024的连接。
　　　deny　禁止访问。
　　　des 访问时需要数字加密标准（DES）认证。
　[mangle[]] 指定应该在发出响应之前用“X”覆盖掉的字段（不明白）
example:
启动服务器
启动NIS客户端
测试NIS
　　NIS客户端应该绑定到服务器。ypwhich命令可以检测客户端是否正确的连接到服务器。
　　如果客户机正确的绑定到服务器，用ypcat检测服务器提供的信息。
NIS与DNS是两会事，大家一定要搞清楚。虽然都有可能涉及到域名。但确实是两会事，他们之间会有一些连系。但绝不可以混在一起。切记，切记。
====================================
nsswitch.conf文件
nsswitch.conf文件不仅能处理主机表和DNS之间的优先次序，还能处理其它的问题。它为几个不同的系统管理数据库定义来源（多看几篇这句话，“几个不同的系统管理数据库”，可以是DNS，NIS，大家想一想）
由nsswitch.conf控制的数据库
alias EMAIL别名
ehters 用于RARP的以太网地址。
hosts　　　主机名和IP地址
password 用户帐号信息。
还有许多，没有列出来。
使用不带NIS的nsswitch.conf
example:
#这句很重要，dns在先，files在后，这里的files指的是/etc/hosts文件，如果有客户端查询的时候，先找dns，再找files。顺序很重要。
使用带NIS的nsswitch.conf
example:
控制选择过程
nsswitch.conf文件提供了几个可用于查询测试的状态关键字：
success(成功）　查询返回所期望的结果。该状态的缺省的动作是返回结果给提交查询的应用程序（想一下，在我的DNS第二讲，说到解析器，就可以是提交查询的应用程序，不过他是DNS查询是了），然后退出查询过程。
nofound(没有找到) 虽然查询工作正常，但所期望值没有找到。缺省的动作是查询下一行的源。
unavail(不可用) 提交查询的源不可用。例，名称服务器没有运行。
tryagain(重度) 源暂时不可用。缺省的动作是继续向下一个源提交查询。
有两个关键字可以识别缺省的动作：return和continue。return告诉解析器返回值给应用程序并结束查询。continue告诉解析器继续向下一个源提交查询。
　状态和动作关键字可以结合起来，加到nsswitch.conf文件的源单中，以控制查询过程何时移到下一个源。
　　状态检查的语法是：
　　　　[ ( ! ? status=action ) + ]
问号(？)代表任何状态值;叹号（！）对状态值取反。!SUCCESS是不成功的意思。方括号”[]”用于包括整个条件语句。圆括号”()”是可选的，只用来包含每个测试条件，可以有多个条件，每个条件用圆括号包含，之间用加号连接。
　　例如：
　　　　[ ( NOFOUND=RETURN ) + ( TRYAGAIN+TRETURN) ]
其实就是C语言中的“与”“或”“非”的关系。
下面是nsswitch.conf中的主机一行：
说明了UNAVAIL之外的所有状态，解析器应该将返回值给应用程序，然后退出。
只有当DNS名称服务器没有运行的时候，解析器才能向主机表查询。如果有条件语句改变，缺省的动作卞会起作用，UNAVAI的缺省动作是continue。
　nsswich.conf文件已经取代了hosts.conf，因为它可以提供更多的资源控制方式。LINUX系统中通常这两个文件都有，但实际上起作用的是nsswitch.conf文件.