Pluggable Authentication Modules, son unos módulos de autenticación configurables, lo que significa que se puede cambiar la autenticación del sistema cambiando la configuración del PAM. Los módulos PAM están en /etc/pan.d. Existe un archivo PAM.conf, pero ya no se usa al estar obsoleto. Cada archivo dentro de estar carpeta configura un servicio diferente. Cada módulo tiene una serie de facilidades para cada una de las tareas con las que puede tratar PAM:

• authentication management (auth): Determina si el usuario es quien dice ser
• account management: Maneja las incidencias de disponibilidad de cuenta no relacionadas con la autenticación
• Session management: Realiza tarea asociadas con la configuración de una sesión y otras tareas como contabilización de login, establecer límites de recursos, etc…
• password management: Para cambiar el token de autenticación asociado con una cuenta.

Para cada facilidad un módulo puede ser:

• Sufficient: Si este módulo da acceso, el acceso queda garantizado, no es necesario revisar más módulos
• Requisite: Si este módulo deniega el acceso, el acceso queda denegado y no es necesario revisar más módulos
• Required: Este módulo debe garantizar el acceso y la evaluación continúa con los siguientes modilos
• Opcional: El resultado de este módulo solo será usado si el de otros módulos no es determinista.
• [new Syntax]
  • Success
  • errores varios

En el archivo /etc/pam.d/login se introduce lo siguiente:

auth requisite pam_securetty.so #Esto permite logins de root si el usuario se mete en una TTY segura
auth sufficient pam_securetty.so #Esto permite acceder solo con estar conectado desde una terminal segura.
auth requisite pam_shells.so #Si el usuario no está logueado, se rechaza.