pam_authenticate()ユーザーのアイデンティティを定期的に確認する必要があるプロセス(callなど)を作成しています。セキュリティ上の理由から、このプロセスを権限で実行したくありませんroot。他のセキュリティ要件に使用できます(たとえば、使用できるようにポートcapabilities(7)にバインドする必要があります)。HTTPSCAP_NET_BIND_SERVICE
ルート権限から始めて一時的に削除し、要求されたときにのみ権限を昇格してpam_authenticateから再度削除できます。しかし、権限を昇格する能力が残っている限り、これは実際にはあいまいなセキュリティです。プロセスを制御する攻撃者が権限を昇格できるためです。
PAM使用されている特定のモジュールによってセキュリティ制限が発生しましたか?パスワードファイルをpam_unix.so読む必要があるだけで問題が発生しますか?shadow