Workshop: Sichere Linux-Workstation

PAM

Das Akronym PAM steht für Pluggable Authentication Modules. Diese Libraries dienen als Wrapper für Sicherheitsfunktionen, die sie allen PAM-fähigen Programmen zur Verfügung stellen. Die entsprechenden Shared-Object-Files finden sich in /lib/security. Der Hauptvorteil des PAM-Mechanismus: Um einen geänderten oder neu entwickelten Authentifizierungsmechanismus zu implementieren, genügt es, ein entsprechendes PAM bereitzustellen. Das früher notwendige Rekompilieren aller betroffenen Programme erübrigt sich damit.

PAMs gliedern sich in die vier Typen auth, account, session und password. Für die eigentliche Authentifizierung zeichnen die PAMs der Kategorie auth verantwortlich. Sie stellen (in der Regel per Passwortabfrage) sicher, dass der Benutzer auch der ist, für den er sich ausgibt. Die account-PAMs erweitern auf Basis der Benutzerkonten die Fähigkeiten der auth-Module. So lässt sich etwa der Benutzerzugriff je nach Tageszeit, Systemressourcen oder Standort des Benutzers (Konsole, IP-Adresse des Rechners) beschränken.

Die Module der Gruppe session regeln zusätzliche Aufgaben, die rund um die eine Benutzersitzung anfallen. Dazu zählen etwa das Mounten von Laufwerken oder die Protokollierung von Dateizugriffen. Zum Ändern von Authentifizierungs-Tokens wie beispielsweise des Passworts dienen password-PAMs. Üblicherweise gehört zu jedem Challenge/Response-basierten auth-Modul auch ein entsprechendes password-PAM.