Pam sepermit.so
pam_sepermit.so
- Anmeldung am System
Erlaubt oder verweigert die Anmeldung am System
- abhängig davon, ob SELinux im Modus Enforcing arbeitet
- Gruppen
Es stellt die Gruppen auth und account bereit
- beteiligt sich also unmittelbar an der Entscheidung, ob ein Login in der Kette weiter zugelassen wird
- Regeln
- Wenn ein Benutzer oder eine Gruppe auf eine Regel aus der Konfiguration passt, wird die Anmeldung nur im Enforcing-Modus erlaubt
Im Modus permissive oder disabled gibt das Modul einen Zugriffsfehler zurück
- Für Benutzer, die zu keinem Eintrag passen, wird die Entscheidung an andere PAM-Module weitergereicht
Das Modul wird eingesetzt, wenn eine Anmeldung nur dann erlaubt werden soll, wenn SELinux die Richtlinie tatsächlich erzwingt
Konfiguration
- /etc/security/sepermit.conf
Standardmäßig
- Falls diese Datei nicht vorhanden ist, wird die Vendor-Datei aus /usr/share/pam/security/sepermit.conf verwendet
- Aufbau
Jede Zeile enthält eine der folgenden Varianten
- einen konkreten Benutzernamen (zum Beispiel alice)
- eine Gruppe über @group (zum Beispiel @devops)
- einen SELinux user über %seuser (zum Beispiel %user_u)
- Exclusive und ignore
Zusätzlich können die Optionen exclusive oder ignore angegeben werden
| exclusive | beschränkt den Benutzer auf eine einzige Login-Sitzung und beendet seine Prozesse beim Abmelden |
| ignore | bewirkt, dass das Modul im Enforcing-Modus PAM_IGNORE und in den übrigen Modi PAM_AUTH_ERR zurückgibt |
Die weitere Entscheidung trifft dann der restliche PAM-Stack