/etc/pam.d/login

#
# Die PAM-Konfigurationsdatei für den Shadow-Dienst „login”
#

# Erzwingt eine minimale Verzögerung im Falle eines Fehlers (in Mikrosekunden).
# (Ersetzt die Einstellung „FAIL_DELAY” aus login.defs)
# Beachten Sie, dass andere Module möglicherweise eine andere minimale Verzögerung erfordern. (Um beispielsweise
# jegliche Verzögerung zu deaktivieren, sollten Sie die Option „nodelay” zu pam_unix hinzufügen)
auth       optional   pam_faildelay.so  delay=3000000

# Gibt vor jeder Anmeldeaufforderung eine Problemdatei aus (ersetzt die
# Option ISSUE_FILE aus login.defs). Zur Verwendung auskommentieren.
# auth       required   pam_issue.so issue=/etc/issue

# Verbietet andere Anmeldungen als root, wenn /etc/nologin vorhanden ist
# (Ersetzt die Option „NOLOGINS_FILE” aus login.defs)
auth       requisite  pam_nologin.so

# SELinux muss die erste Sitzungsregel sein. Dadurch wird sichergestellt, dass alle
# verbleibenden Kontexte gelöscht wurden. Ohne diese Regel ist es möglich
#, dass ein Modul Code in der falschen Domäne ausführt.
# Wenn das Modul vorhanden ist, wäre „required” ausreichend (wenn SELinux
# deaktiviert ist, wird dies erfolgreich zurückgegeben).
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close

# Legt das Prozessattribut „loginuid“ fest.
session    required     pam_loginuid.so

# Druckt die Meldung des Tages nach erfolgreicher Anmeldung aus.
# (Ersetzt die Option „MOTD_FILE” in login.defs)
# Diese enthält einen dynamisch generierten Teil aus /run/motd.dynamic
# und einen statischen (vom Administrator bearbeitbaren) Teil aus /etc/motd.
session    optional   pam_motd.so motd=/run/motd.dynamic
session    optional   pam_motd.so noupdate

# SELinux muss bei der Anmeldung eingreifen, um sicherzustellen, dass der Prozess
# im richtigen Standard-Sicherheitskontext gestartet wird. Danach sollten nur noch Sitzungen ausgeführt werden, die
# für die Ausführung im Kontext des Benutzers vorgesehen sind.
# pam_selinux.so ändert den SELinux-Kontext des verwendeten TTY und konfiguriert
# SELinux so, dass beim nächsten execve()-Aufruf zum Benutzerkontext gewechselt wird.
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
# Wenn das Modul vorhanden ist, würde „required” ausreichen (wenn SELinux
# deaktiviert ist, wird dies erfolgreich zurückgegeben).

# Dieses Modul analysiert Umgebungskonfigurationsdateien
# und ermöglicht Ihnen auch die Verwendung einer erweiterten Konfiguration.
# file /etc/security/pam_env.conf.
#
# parsing /etc/environment needs "readenv=1"
session       required   pam_env.so readenv=1
# Lokale Variablen können auch in /etc/default/locale gesetzt werden
# Das Lesen dieser Datei *zusätzlich zu /etc/environment* schadet nicht
session       required   pam_env.so readenv=1 envfile=/etc/default/locale

# Standard Un*x authentication.
@include common-auth

# Dadurch können einem Benutzer bestimmte zusätzliche Gruppen zugewiesen werden
# basierend auf Faktoren wie Tageszeit, tty, Dienst und Benutzer.
# Bitte bearbeiten Sie /etc/security/group.conf entsprechend Ihren Anforderungen
# (ersetzt die Option „CONSOLE_GROUPS” in login.defs).
auth       optional   pam_group.so

# Entfernen Sie den Kommentar und bearbeiten Sie /etc/security/time.conf, wenn Sie
# eine zeitliche Beschränkung für Anmeldungen festlegen möchten.
# (Ersetzt die Option „PORTTIME_CHECKS_ENAB” aus login.defs
# sowie /etc/porttime)
# account    requisite  pam_time.so

# Entfernen Sie die Auskommentierung und bearbeiten Sie /etc/security/access.conf, wenn Sie
# Zugriffsbeschränkungen festlegen müssen.
# (Ersetzt die Datei /etc/login.access)
# account  required       pam_access.so

# Legt Benutzerbeschränkungen gemäß /etc/security/limits.conf fest
# (Ersetzt die Verwendung von /etc/limits im alten Login)
session    required   pam_limits.so

# Druckt den Status der Mailbox des Benutzers nach erfolgreicher Anmeldung
# (Ersetzt die Option „MAIL_CHECK_ENAB” aus login.defs).
#
# Dies definiert auch die Umgebungsvariable MAIL
# Allerdings benötigt userdel auch die Variablen MAIL_DIR und MAIL_FILE
# in /etc/login.defs, um sicherzustellen, dass beim Entfernen eines Benutzers
# auch die Mail-Spool-Datei des Benutzers entfernt wird.
# Siehe Kommentare in /etc/login.defs
session    optional   pam_mail.so standard

# Erstellen Sie einen neuen Sitzungsschlüsselbund.
session    optional   pam_keyinit.so force revoke

# Standard Un*x account and session
@include common-account
@include common-session
@include common-password