как установить разные требования аутентификации в политиках pam для разных пользователей или групп?
Корень будет иметь доступ ко всему, независимо от битов разрешения. Исключением является то, что корневой процесс не будет пытаться выполнить файл, если ни один из битов выполнения не установлен, а ограничения установлены SELinux.
Тем не менее, root по-прежнему сможет устанавливать нужные биты выполнения и изменять правила SELinux, поэтому вы ничего не можете сделать, чтобы предотвратить доступ root к вашим файлам.
Редактировать
Из "пути человека _разрешение"
On a traditional UNIX system, the superuser (root, user ID 0) is all-powerful, and bypasses all permissions restrictions when accessing files.
Вы можете использовать модуль pam_succeed_if, чтобы пропустить другие модули PAM в стеке с учетом определенных пользовательских критериев. Например, вы можете создать группу noyubikeyи добавить в конфигурацию PAM следующее:
auth [success=1 default=ignore] pam_succeed_if.so quiet user ingroup noyubikey
auth required pam_u2f.so authfile=/etc/my_yubikeys cue
Обновлено, чтобы ответить на ваш вопрос:
could I use this to require a number of authentication methods, where any one of them are optional. sort of like "there are 3 possible authentication methods, but you need to use any 2 of them"
Это должно быть возможно сподстеком и пользовательскими элементами управления . Например. вам может потребоваться такой подстек:
[success=ignore default=1] # first module
[success=done default=1] # second module if the first one succeeded
[success=ignore default=die] # second module, if the first one failed
[success=done default=die] # third module now has to succeed
Примечание. :Элементы управления показаны только для ясности.
Вам следует использовать здесь подстек, потому что он изолирует действия done/die от остальной части вашего стека.