Pam module: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „*pam_limits.so“) |
|||
| (15 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
| − | * | + | =Listing= |
| + | *cd /usr/lib/x86_64-linux-gnu/security/ | ||
| + | *ls | ||
| + | <pre> | ||
| + | pam_access.so pam_ftp.so pam_mail.so pam_securetty.so pam_timestamp.so | ||
| + | pam_debug.so pam_group.so pam_mkhomedir.so pam_selinux.so pam_tty_audit.so | ||
| + | pam_deny.so pam_issue.so pam_motd.so pam_sepermit.so pam_umask.so | ||
| + | pam_echo.so pam_keyinit.so pam_namespace.so pam_setquota.so pam_unix.so | ||
| + | pam_env.so pam_lastlog.so pam_nologin.so pam_shells.so pam_userdb.so | ||
| + | pam_exec.so pam_limits.so pam_permit.so pam_stress.so pam_usertype.so | ||
| + | pam_faildelay.so pam_listfile.so pam_pwhistory.so pam_succeed_if.so pam_warn.so | ||
| + | pam_faillock.so pam_localuser.so pam_rhosts.so pam_systemd.so pam_wheel.so | ||
| + | pam_filter.so pam_loginuid.so pam_rootok.so pam_time.so pam_xauth.so | ||
| + | </pre> | ||
| + | =pam_krb5= | ||
| + | *Authentisierung via Kerberos V5 | ||
| + | *Konfiguration in /etc/krb5.conf | ||
| + | =pam_deny= | ||
| + | liefert immer Misserfolg | ||
| + | =pam_login_access= | ||
| + | *Zugangsvoraussetzungen in /etc/login.access (auch pam_access) | ||
| + | =pam_console= | ||
| + | *Übertragen/Entziehen von Berechtigungen des Konsole-Nutzers | ||
| + | *definiert in etc/security/console.apps und /etc/security/console.perms | ||
| + | =pam_userdb= | ||
| + | *zusätzliche lokale Passwort-Datenbasis auswerten | ||
| + | =pam_mkhomedir= | ||
| + | *HOME-Verzeichnis bei erster Anmeldung des Nutzers einrichten | ||
| + | =pam_time= | ||
| + | *zeitabhängige Zugangssteuerung | ||
| + | |||
| + | =pam_access= | ||
| + | *Stellt eine Art Access Control List zur Verfügung. | ||
| + | *Das Modul erwartet eine Konfigurationsdatei »/etc/security/access.conf«. | ||
| + | *Dort pflegt der Admin Erlaubnis : Anwender : Ursprung-Listen. | ||
| + | =pam_afs= | ||
| + | *Dieses Authentifizierungsmodul kennt zwei Betriebsarten. | ||
| + | *Entweder authentifiziert ein anderes Modul den Benutzer, dann holt »pam_afs« nur noch das Token vom AFS-Server. | ||
| + | *Oder »pam_afs« authentifiziert den User ebenfalls selbst. | ||
| + | =pam_chroot= | ||
| + | *Dieses Modul enthält Account-, Session- und Authentifizierungskomponenten. | ||
| + | *Es versetzt Benutzer beim Login in einen Changeroot-Käfig. | ||
| + | =pam_cracklib= | ||
| + | *Setzt Richtlinien für gute Passwörter durch, Benutzer können damit keine erkennbar schlechten Passwörter verwenden. | ||
| + | *Das Modul arbeitet in der Kategorie »Password«. | ||
| + | *Es benötigt die Cracklib und passende Wörterbücher. | ||
| + | =pam_devperm= | ||
| + | *Passt die Zugriffsrechte auf Device-Files an. | ||
| + | *Damit dürfen lokal eingeloggte User zum Beispiel das Floppy-Laufwerk und die Soundkarte nutzen. | ||
| + | *Es liest die Konfigurationsdatei »/etc/logindevperm«. | ||
| + | =pam_env= | ||
| + | *Passt die Umgebungsvariablen an. Es benutzt dazu die Konfigurationsdatei »/etc/security/pam_env.conf«. | ||
| + | *Diese kann festlegen, welche »DEFAULT«-Werte für eine Variable gelten oder wie diese überschrieben (»OVERRIDE«) werden sollen. | ||
| + | =pam_lastlog= | ||
| + | * Kümmert sich als Modul der Session-Kategorie um die Datei »/var/log/lastlog« und trägt dort den Benutzer ein. | ||
| + | *Es kann, wenn das nicht schon die Applikation erledigt, auch anzeigen, wann der Nutzer das letzte Mal angemeldet war. | ||
| + | =pam_ldap= | ||
| + | *Benutzerauthentifizierung gegen eine LDAP-Datenbank. | ||
| + | *Je nachdem, wie dieses Modul kompiliert wurde, bezieht es seine LDAP-Konfiguration aus »/etc/ldap.conf« oder »/etc/ldap/ldap.conf«. | ||
| + | =pam_limits= | ||
| + | *Einstellen von Limits | ||
| + | *Erlaubt es dem Systemadministrator festzulegen, wie viel Systemressourcen (Speicher, CPU-Zeit …) dem Benutzer maximal zur Verfügung stehen. | ||
| + | *Diese Einschränkungen gelten nicht für User mit der ID 0. | ||
| + | *Die Konfigurationsdatei für dieses Modul ist »/etc/security/limits.conf«. | ||
| + | |||
| + | =pam_mktemp= | ||
| + | *Kann als Teil des Session- oder Accountmanagements für angemeldete Benutzer ein persönliches Temporärverzeichnis festlegen. | ||
| + | *Hierzu setzt es die Umgebungsvariablen »TMPDIR« und »TMP«. | ||
| + | =pam_nologin= | ||
| + | *Prüft, ob die Datei »pam_nologin« existiert. | ||
| + | *Wenn ja, zeigt es jedem Benutzer (bis auf den Systemadministrator) den Inhalt dieses Files und verhindert, dass sich der User anmeldet. | ||
| + | |||
| + | =pam_permit= | ||
| + | *Liefert immer ein fröhliches »sucess«. | ||
| + | *Dieses Modul sollte nur unter sehr speziellen Bedingungen zum Einsatz kommen. | ||
| + | |||
| + | =pam_pwcheck= | ||
| + | *Stellt Hilfsfunktionen in der »password«-Kategorie für die Passwortänderung zur Verfügung. | ||
| + | *Es verwendet Einstellungen aus »/etc/login.defs«. | ||
| + | *Hier kann der Admin mittels Modulargument festlegen, nach welchem Crypt-Verfahren (»md5«, »blowfish« …) das Passwort verschlüsselt wird. | ||
| + | |||
| + | =pam_rootok= | ||
| + | *Ein Modul der Authentifizierungskategorie. | ||
| + | *Es kann fürbestimmte Dienste (wie »su«) dem Admin einen Login ohne Passwort erlauben. | ||
| + | *Auf diese Weise kann Root zu einem normalen User werden, ohne dessen Passwort wissen zu müssen. | ||
| + | =pam_securetty= | ||
| + | *Stellt fest, von welchem Terminal (TTY) sich der Systemadministrator anmelden darf. | ||
| + | *Die Datei »/etc/securetty« enthält hierfür eine Liste von Devices, von denen aus sich Root anmelden kann. | ||
| + | |||
| + | =pam_unix= | ||
| + | *Das Standard-Unix-Authentifizierungsmodul, das ebenfalls | ||
| + | *Komponenten für »session«, »password« | ||
| + | *und »account« zur Verfügung stellt. Es benutzt die | ||
| + | *Standardaufrufe der Systembibliotheken und beschafft Informationen | ||
| + | *aus »/etc/passwd« und »/etc/shadow«. | ||
| + | =pam_group= | ||
| + | *Steuert die Gruppenzugehörigkeit einzelner User. | ||
| + | Konfigurierbar über /etc/security/groups.conf. | ||
| + | |||
| + | =pam_warn= | ||
| + | |||
| + | *Hat die Aufgabe, Log-Output zu generieren und an den Syslog weiterzugeben. | ||
| + | *Es arbeitet in den Kategorien »authentication« und »password«. | ||
| + | =pam_winbind= | ||
| + | *Kommt mit der Samba-Suite und erlaubt eine Authentifizierung gegen Windows-Systeme. | ||
| + | =Quellen= | ||
| + | *https://www.linux-magazin.de/ausgaben/2004/05/hereinspaziert/3/ | ||
| + | *https://www.linux-praxis.de/authentisierung-mittels-pam | ||
Aktuelle Version vom 16. Januar 2023, 10:25 Uhr
Listing
- cd /usr/lib/x86_64-linux-gnu/security/
- ls
pam_access.so pam_ftp.so pam_mail.so pam_securetty.so pam_timestamp.so pam_debug.so pam_group.so pam_mkhomedir.so pam_selinux.so pam_tty_audit.so pam_deny.so pam_issue.so pam_motd.so pam_sepermit.so pam_umask.so pam_echo.so pam_keyinit.so pam_namespace.so pam_setquota.so pam_unix.so pam_env.so pam_lastlog.so pam_nologin.so pam_shells.so pam_userdb.so pam_exec.so pam_limits.so pam_permit.so pam_stress.so pam_usertype.so pam_faildelay.so pam_listfile.so pam_pwhistory.so pam_succeed_if.so pam_warn.so pam_faillock.so pam_localuser.so pam_rhosts.so pam_systemd.so pam_wheel.so pam_filter.so pam_loginuid.so pam_rootok.so pam_time.so pam_xauth.so
pam_krb5
- Authentisierung via Kerberos V5
- Konfiguration in /etc/krb5.conf
pam_deny
liefert immer Misserfolg
pam_login_access
- Zugangsvoraussetzungen in /etc/login.access (auch pam_access)
pam_console
- Übertragen/Entziehen von Berechtigungen des Konsole-Nutzers
- definiert in etc/security/console.apps und /etc/security/console.perms
pam_userdb
- zusätzliche lokale Passwort-Datenbasis auswerten
pam_mkhomedir
- HOME-Verzeichnis bei erster Anmeldung des Nutzers einrichten
pam_time
- zeitabhängige Zugangssteuerung
pam_access
- Stellt eine Art Access Control List zur Verfügung.
- Das Modul erwartet eine Konfigurationsdatei »/etc/security/access.conf«.
- Dort pflegt der Admin Erlaubnis : Anwender : Ursprung-Listen.
pam_afs
- Dieses Authentifizierungsmodul kennt zwei Betriebsarten.
- Entweder authentifiziert ein anderes Modul den Benutzer, dann holt »pam_afs« nur noch das Token vom AFS-Server.
- Oder »pam_afs« authentifiziert den User ebenfalls selbst.
pam_chroot
- Dieses Modul enthält Account-, Session- und Authentifizierungskomponenten.
- Es versetzt Benutzer beim Login in einen Changeroot-Käfig.
pam_cracklib
- Setzt Richtlinien für gute Passwörter durch, Benutzer können damit keine erkennbar schlechten Passwörter verwenden.
- Das Modul arbeitet in der Kategorie »Password«.
- Es benötigt die Cracklib und passende Wörterbücher.
pam_devperm
- Passt die Zugriffsrechte auf Device-Files an.
- Damit dürfen lokal eingeloggte User zum Beispiel das Floppy-Laufwerk und die Soundkarte nutzen.
- Es liest die Konfigurationsdatei »/etc/logindevperm«.
pam_env
- Passt die Umgebungsvariablen an. Es benutzt dazu die Konfigurationsdatei »/etc/security/pam_env.conf«.
- Diese kann festlegen, welche »DEFAULT«-Werte für eine Variable gelten oder wie diese überschrieben (»OVERRIDE«) werden sollen.
pam_lastlog
- Kümmert sich als Modul der Session-Kategorie um die Datei »/var/log/lastlog« und trägt dort den Benutzer ein.
- Es kann, wenn das nicht schon die Applikation erledigt, auch anzeigen, wann der Nutzer das letzte Mal angemeldet war.
pam_ldap
- Benutzerauthentifizierung gegen eine LDAP-Datenbank.
- Je nachdem, wie dieses Modul kompiliert wurde, bezieht es seine LDAP-Konfiguration aus »/etc/ldap.conf« oder »/etc/ldap/ldap.conf«.
pam_limits
- Einstellen von Limits
- Erlaubt es dem Systemadministrator festzulegen, wie viel Systemressourcen (Speicher, CPU-Zeit …) dem Benutzer maximal zur Verfügung stehen.
- Diese Einschränkungen gelten nicht für User mit der ID 0.
- Die Konfigurationsdatei für dieses Modul ist »/etc/security/limits.conf«.
pam_mktemp
- Kann als Teil des Session- oder Accountmanagements für angemeldete Benutzer ein persönliches Temporärverzeichnis festlegen.
- Hierzu setzt es die Umgebungsvariablen »TMPDIR« und »TMP«.
pam_nologin
- Prüft, ob die Datei »pam_nologin« existiert.
- Wenn ja, zeigt es jedem Benutzer (bis auf den Systemadministrator) den Inhalt dieses Files und verhindert, dass sich der User anmeldet.
pam_permit
- Liefert immer ein fröhliches »sucess«.
- Dieses Modul sollte nur unter sehr speziellen Bedingungen zum Einsatz kommen.
pam_pwcheck
- Stellt Hilfsfunktionen in der »password«-Kategorie für die Passwortänderung zur Verfügung.
- Es verwendet Einstellungen aus »/etc/login.defs«.
- Hier kann der Admin mittels Modulargument festlegen, nach welchem Crypt-Verfahren (»md5«, »blowfish« …) das Passwort verschlüsselt wird.
pam_rootok
- Ein Modul der Authentifizierungskategorie.
- Es kann fürbestimmte Dienste (wie »su«) dem Admin einen Login ohne Passwort erlauben.
- Auf diese Weise kann Root zu einem normalen User werden, ohne dessen Passwort wissen zu müssen.
pam_securetty
- Stellt fest, von welchem Terminal (TTY) sich der Systemadministrator anmelden darf.
- Die Datei »/etc/securetty« enthält hierfür eine Liste von Devices, von denen aus sich Root anmelden kann.
pam_unix
- Das Standard-Unix-Authentifizierungsmodul, das ebenfalls
- Komponenten für »session«, »password«
- und »account« zur Verfügung stellt. Es benutzt die
- Standardaufrufe der Systembibliotheken und beschafft Informationen
- aus »/etc/passwd« und »/etc/shadow«.
pam_group
- Steuert die Gruppenzugehörigkeit einzelner User.
Konfigurierbar über /etc/security/groups.conf.
pam_warn
- Hat die Aufgabe, Log-Output zu generieren und an den Syslog weiterzugeben.
- Es arbeitet in den Kategorien »authentication« und »password«.
pam_winbind
- Kommt mit der Samba-Suite und erlaubt eine Authentifizierung gegen Windows-Systeme.