/etc/pam.d/system-auth와 /etc/pam.d/password-auth의 차이에 대하여
Redhat 6 기준으로 작성되었다. Debian 계열은 다를 수 있다.
PAM 모듈을 알고 있다는 전제하에 작성되었다.
RHEL6부터는 fingerprint와 smartcard readers에 대해서 좀 더 나은 지원을 하기 위해서 PAM 인증이 일부 변경되었다.
/etc/pam.d/system-auth는 remote 설정에서 사용할 수 없는 모듈이 담겨있었다.
이 때문에 이제 remote services(sshd, vsftpd 등)는 /etc/pam.d/password-auth에서 사용할 수 있다.
만약 fingerprint, smartcard readers 혹 authconfig(명령어임)를 이용해서 PAM 파일을 조작하지 않는다면, system-auth를 password-auth 안에 포함시키면 된다. 그리고 하나의 파일만 업데이트하면 된다.
위의 내용이 redhat이 말하는 system-auth와 password-auth의 차이이다.
마지막에 system-auth를 password-auth안에 포함시키라고 되어 있는 부분은
/etc/pam.d/password-auth 파일을 열어서 auth include system-auth를 넣으라는 이야기같다.
단, pam_fprintd.so 등의 모듈을 사용하지 않는다면 말이다.
어쨌든 이렇게 해서 system-auth 파일 하나만 업데이트하면 password-auth는system-auth를 include 했기 때문에 자동으로 따라간다는 의미같다.
참고자료1 : https://access.redhat.com/solutions/45492
What should go in password-auth vs system-auth in RHEL6 and RHEL 7 ? - Red Hat Customer Portal
What should go in password-auth vs system-auth in RHEL6 and RHEL 7 ? Changes made to /etc/pam.d/system-auth not honored for network services. In RHEL5 we would configure it in /etc/pam.d/system-auth. However it seems that the way to go in RHEL6 is to add e
access.redhat.com
참고자료2 : https://sungpil94.tistory.com/225
시스템보안_Linux_PAM 정책
시스템보안_Linux_PAM 정책 - Vmware 가상머신 사용 - CentOS6.0 #1 PAM (Plaggable Authentication Module) -> 인증이 필요한 다양한 프로그램, 서비스와 무관하게 다양한 관리가 설정 가능 방식으로 사용자를 인증
sungpil94.tistory.com