Listing

• cd /usr/lib/x86_64-linux-gnu/security/
• ls

pam_access.so	  pam_ftp.so	    pam_mail.so       pam_securetty.so	 pam_timestamp.so
pam_debug.so	  pam_group.so	    pam_mkhomedir.so  pam_selinux.so	 pam_tty_audit.so
pam_deny.so	  pam_issue.so	    pam_motd.so       pam_sepermit.so	 pam_umask.so
pam_echo.so	  pam_keyinit.so    pam_namespace.so  pam_setquota.so	 pam_unix.so
pam_env.so	  pam_lastlog.so    pam_nologin.so    pam_shells.so	 pam_userdb.so
pam_exec.so	  pam_limits.so     pam_permit.so     pam_stress.so	 pam_usertype.so
pam_faildelay.so  pam_listfile.so   pam_pwhistory.so  pam_succeed_if.so  pam_warn.so
pam_faillock.so   pam_localuser.so  pam_rhosts.so     pam_systemd.so	 pam_wheel.so
pam_filter.so	  pam_loginuid.so   pam_rootok.so     pam_time.so	 pam_xauth.so

pam_krb5

• Authentisierung via Kerberos V5
• Konfiguration in /etc/krb5.conf

pam_deny

liefert immer Misserfolg

pam_login_access

• Zugangsvoraussetzungen in /etc/login.access (auch pam_access)

pam_console

• Übertragen/Entziehen von Berechtigungen des Konsole-Nutzers
• definiert in etc/security/console.apps und /etc/security/console.perms

pam_userdb

• zusätzliche lokale Passwort-Datenbasis auswerten

pam_mkhomedir

• HOME-Verzeichnis bei erster Anmeldung des Nutzers einrichten

pam_time

• zeitabhängige Zugangssteuerung

pam_access

• Stellt eine Art Access Control List zur Verfügung.
• Das Modul erwartet eine Konfigurationsdatei »/etc/security/access.conf«.
• Dort pflegt der Admin Erlaubnis : Anwender : Ursprung-Listen.

pam_afs

• Dieses Authentifizierungsmodul kennt zwei Betriebsarten.
• Entweder authentifiziert ein anderes Modul den Benutzer, dann holt »pam_afs« nur noch das Token vom AFS-Server.
• Oder »pam_afs« authentifiziert den User ebenfalls selbst.

pam_chroot

• Dieses Modul enthält Account-, Session- und Authentifizierungskomponenten.
• Es versetzt Benutzer beim Login in einen Changeroot-Käfig.

pam_cracklib

• Setzt Richtlinien für gute Passwörter durch, Benutzer können damit keine erkennbar schlechten Passwörter verwenden.
• Das Modul arbeitet in der Kategorie »Password«.
• Es benötigt die Cracklib und passende Wörterbücher.

pam_devperm

• Passt die Zugriffsrechte auf Device-Files an.
• Damit dürfen lokal eingeloggte User zum Beispiel das Floppy-Laufwerk und die Soundkarte nutzen.
• Es liest die Konfigurationsdatei »/etc/logindevperm«.

pam_env

• Passt die Umgebungsvariablen an. Es benutzt dazu die Konfigurationsdatei »/etc/security/pam_env.conf«.
• Diese kann festlegen, welche »DEFAULT«-Werte für eine Variable gelten oder wie diese überschrieben (»OVERRIDE«) werden sollen.

pam_lastlog

• Kümmert sich als Modul der Session-Kategorie um die Datei »/var/log/lastlog« und trägt dort den Benutzer ein.
• Es kann, wenn das nicht schon die Applikation erledigt, auch anzeigen, wann der Nutzer das letzte Mal angemeldet war.

pam_ldap

• Benutzerauthentifizierung gegen eine LDAP-Datenbank.
• Je nachdem, wie dieses Modul kompiliert wurde, bezieht es seine LDAP-Konfiguration aus »/etc/ldap.conf« oder »/etc/ldap/ldap.conf«.

pam_limits

• Einstellen von Limits
• Erlaubt es dem Systemadministrator festzulegen, wie viel Systemressourcen (Speicher, CPU-Zeit …) dem Benutzer maximal zur Verfügung stehen.
• Diese Einschränkungen gelten nicht für User mit der ID 0.
• Die Konfigurationsdatei für dieses Modul ist »/etc/security/limits.conf«.

pam_mktemp

• Kann als Teil des Session- oder Accountmanagements für angemeldete Benutzer ein persönliches Temporärverzeichnis festlegen.
• Hierzu setzt es die Umgebungsvariablen »TMPDIR« und »TMP«.

pam_nologin

• Prüft, ob die Datei »pam_nologin« existiert.
• Wenn ja, zeigt es jedem Benutzer (bis auf den Systemadministrator) den Inhalt dieses Files und verhindert, dass sich der User anmeldet.

pam_permit

• Liefert immer ein fröhliches »sucess«.
• Dieses Modul sollte nur unter sehr speziellen Bedingungen zum Einsatz kommen.

pam_pwcheck

• Stellt Hilfsfunktionen in der »password«-Kategorie für die Passwortänderung zur Verfügung.
• Es verwendet Einstellungen aus »/etc/login.defs«.
• Hier kann der Admin mittels Modulargument festlegen, nach welchem Crypt-Verfahren (»md5«, »blowfish« …) das Passwort verschlüsselt wird.

pam_rootok

• Ein Modul der Authentifizierungskategorie.
• Es kann fürbestimmte Dienste (wie »su«) dem Admin einen Login ohne Passwort erlauben.
• Auf diese Weise kann Root zu einem normalen User werden, ohne dessen Passwort wissen zu müssen.

pam_securetty

• Stellt fest, von welchem Terminal (TTY) sich der Systemadministrator anmelden darf.
• Die Datei »/etc/securetty« enthält hierfür eine Liste von Devices, von denen aus sich Root anmelden kann.

pam_unix

• Das Standard-Unix-Authentifizierungsmodul, das ebenfalls
• Komponenten für »session«, »password«
• und »account« zur Verfügung stellt. Es benutzt die
• Standardaufrufe der Systembibliotheken und beschafft Informationen
• aus »/etc/passwd« und »/etc/shadow«.

pam_group

• Steuert die Gruppenzugehörigkeit einzelner User.

Konfigurierbar über /etc/security/groups.conf.

pam_warn

• Hat die Aufgabe, Log-Output zu generieren und an den Syslog weiterzugeben.
• Es arbeitet in den Kategorien »authentication« und »password«.

pam_winbind

• Kommt mit der Samba-Suite und erlaubt eine Authentifizierung gegen Windows-Systeme.

Quellen

• https://www.linux-magazin.de/ausgaben/2004/05/hereinspaziert/3/
• https://www.linux-praxis.de/authentisierung-mittels-pam