Workshop: Sichere Linux-Workstation
PAM-Konfiguration
Jedes PAM kann nicht nur in eine, sondern auch in mehrere der Funktionsgruppen fallen. So stellt etwa pam_unix.so, das Standard-Unix-Authentifizierungsmodul, Funktionen für alle vier Aufgabengruppen zur Verfügung.
Praktisch alle aktuellen Linux-Distributionen unterstützen PAM; Caldera, Debian, Red Hat und SuSE bereits seit einiger Zeit. Die dazugehörigen Konfigurationsdaten finden sich im Verzeichnis /etc/pam.d, gelegentlich auch in der Datei /etc/pamd.conf.
Im PAM-Verzeichnis liegt für jeden konfigurierten Dienst ein eigenes File, wie etwa passwd oder login. Die Datei other dient als Fallback für nicht speziell eingerichtete Services und greift in der Regel auf pam_unix.so zurück. Nutzt die Distribution eine /etc/pamd.conf, steht dort der Name des zu konfigurierenden Dienstes am Beginn jeder Zeile, das Schlüsselwort OTHER kennzeichnet die Defaulteinstellungen. In beiden Fällen gehorchen die einzelnen Einträge der Syntax:
Modultyp Kontrollflag Modul Parameter
Beim Modultyp handelt es sich um die bereits angesprochenen Kategorien auth, account, session und password. Für jeden dieser Typen lassen sich Prüfungen durch mehrere Module einrichten, die in der Reihenfolge ihres Auftretens abgearbeitet werden. Dabei gibt das Kontrollflag an, welche Gewichtung dem jeweiligen Modul zukommt. Hier kennzeichnen required oder requisite, dass beim Fehlschlagen der Prüfung die Authentifizierung insgesamt als gescheitert gilt. Nach der erfolgreichen Absolvierung eines mit sufficient gekennzeichneten Moduls gilt die Authentifizierung als abgeschlossen, weitere Prüfungen unterbleiben. Als optional gekennzeichnete Module dienen der Abarbeitung von Aufgaben, die für die eigentliche Authentifizierung nicht kritisch sind.
Module lassen sich wahlweise mit vollem Pfadnamen oder relativ zum Basisverzeichnis /usr/lib/security angeben. Fast alle PAM verarbeiten, meist getrennt nach Modultyp, verschiedene Parameter. Eine ausführliche Beschreibung aller Werte finden Sie im Linux-PAM System Administrators Guide.