Zum Inhalt springen

/etc/pam.d/login: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen Versionsunterschied
VisuellWikitext
 
Zeile 4: Zeile 4:
<syntaxhighlight lang="bash" highlight="" line copy>
<syntaxhighlight lang="bash" highlight="" line copy>
#
#
# The PAM configuration file for the Shadow `login' service
# Die PAM-Konfigurationsdatei für den Shadow-Dienst „login”
#
#


# Enforce a minimal delay in case of failure (in microseconds).
# Erzwingt eine minimale Verzögerung im Falle eines Fehlers (in Mikrosekunden).
# (Replaces the `FAIL_DELAY' setting from login.defs)
# (Ersetzt die Einstellung „FAIL_DELAY” aus login.defs)
# Note that other modules may require another minimal delay. (for example,
# Beachten Sie, dass andere Module möglicherweise eine andere minimale Verzögerung erfordern. (Um beispielsweise
# to disable any delay, you should add the nodelay option to pam_unix)
# jegliche Verzögerung zu deaktivieren, sollten Sie die Option „nodelay” zu pam_unix hinzufügen)
auth      optional  pam_faildelay.so  delay=3000000
auth      optional  pam_faildelay.so  delay=3000000


# Outputs an issue file prior to each login prompt (Replaces the
# Gibt vor jeder Anmeldeaufforderung eine Problemdatei aus (ersetzt die
# ISSUE_FILE option from login.defs). Uncomment for use
# Option ISSUE_FILE aus login.defs). Zur Verwendung auskommentieren.
# auth      required  pam_issue.so issue=/etc/issue
# auth      required  pam_issue.so issue=/etc/issue


# Disallows other than root logins when /etc/nologin exists
# Verbietet andere Anmeldungen als root, wenn /etc/nologin vorhanden ist
# (Replaces the `NOLOGINS_FILE' option from login.defs)
# (Ersetzt die Option „NOLOGINS_FILE” aus login.defs)
auth      requisite  pam_nologin.so
auth      requisite  pam_nologin.so


# SELinux needs to be the first session rule. This ensures that any
# SELinux muss die erste Sitzungsregel sein. Dadurch wird sichergestellt, dass alle
# lingering context has been cleared. Without this it is possible
# verbleibenden Kontexte gelöscht wurden. Ohne diese Regel ist es möglich
# that a module could execute code in the wrong domain.
#, dass ein Modul Code in der falschen Domäne ausführt.
# When the module is present, "required" would be sufficient (When SELinux
# Wenn das Modul vorhanden ist, wäre „required” ausreichend (wenn SELinux
# is disabled, this returns success.)
# deaktiviert ist, wird dies erfolgreich zurückgegeben).
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close


# Sets the loginuid process attribute
# Legt das Prozessattribut „loginuid“ fest.
session    required    pam_loginuid.so
session    required    pam_loginuid.so


# Prints the message of the day upon successful login.
# Druckt die Meldung des Tages nach erfolgreicher Anmeldung aus.
# (Replaces the `MOTD_FILE' option in login.defs)
# (Ersetzt die Option „MOTD_FILE” in login.defs)
# This includes a dynamically generated part from /run/motd.dynamic
# Diese enthält einen dynamisch generierten Teil aus /run/motd.dynamic
# and a static (admin-editable) part from /etc/motd.
# und einen statischen (vom Administrator bearbeitbaren) Teil aus /etc/motd.
session    optional  pam_motd.so motd=/run/motd.dynamic
session    optional  pam_motd.so motd=/run/motd.dynamic
session    optional  pam_motd.so noupdate
session    optional  pam_motd.so noupdate


# SELinux needs to intervene at login time to ensure that the process
# SELinux muss bei der Anmeldung eingreifen, um sicherzustellen, dass der Prozess
# starts in the proper default security context. Only sessions which are
# im richtigen Standard-Sicherheitskontext gestartet wird. Danach sollten nur noch Sitzungen ausgeführt werden, die
# intended to run in the user's context should be run after this.
# für die Ausführung im Kontext des Benutzers vorgesehen sind.
# pam_selinux.so changes the SELinux context of the used TTY and configures
# pam_selinux.so ändert den SELinux-Kontext des verwendeten TTY und konfiguriert
# SELinux in order to transition to the user context with the next execve()
# SELinux so, dass beim nächsten execve()-Aufruf zum Benutzerkontext gewechselt wird.
# call.
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
# When the module is present, "required" would be sufficient (When SELinux
# Wenn das Modul vorhanden ist, würde „required” ausreichen (wenn SELinux
# is disabled, this returns success.)
# deaktiviert ist, wird dies erfolgreich zurückgegeben).


# This module parses environment configuration file(s)
# Dieses Modul analysiert Umgebungskonfigurationsdateien
# and also allows you to use an extended config
# und ermöglicht Ihnen auch die Verwendung einer erweiterten Konfiguration.
# file /etc/security/pam_env.conf.
# file /etc/security/pam_env.conf.
#
#
# parsing /etc/environment needs "readenv=1"
# parsing /etc/environment needs "readenv=1"
session      required  pam_env.so readenv=1
session      required  pam_env.so readenv=1
# locale variables can also be set in /etc/default/locale
# Lokale Variablen können auch in /etc/default/locale gesetzt werden
# reading this file *in addition to /etc/environment* does not hurt
# Das Lesen dieser Datei *zusätzlich zu /etc/environment* schadet nicht
session      required  pam_env.so readenv=1 envfile=/etc/default/locale
session      required  pam_env.so readenv=1 envfile=/etc/default/locale


Zeile 61: Zeile 60:
@include common-auth
@include common-auth


# This allows certain extra groups to be granted to a user
# Dadurch können einem Benutzer bestimmte zusätzliche Gruppen zugewiesen werden
# based on things like time of day, tty, service, and user.
# basierend auf Faktoren wie Tageszeit, tty, Dienst und Benutzer.
# Please edit /etc/security/group.conf to fit your needs
# Bitte bearbeiten Sie /etc/security/group.conf entsprechend Ihren Anforderungen
# (Replaces the `CONSOLE_GROUPS' option in login.defs)
# (ersetzt die Option „CONSOLE_GROUPS” in login.defs).
auth      optional  pam_group.so
auth      optional  pam_group.so


# Uncomment and edit /etc/security/time.conf if you need to set
# Entfernen Sie den Kommentar und bearbeiten Sie /etc/security/time.conf, wenn Sie
# time restraint on logins.
# eine zeitliche Beschränkung für Anmeldungen festlegen möchten.
# (Replaces the `PORTTIME_CHECKS_ENAB' option from login.defs
# (Ersetzt die Option „PORTTIME_CHECKS_ENAB” aus login.defs
# as well as /etc/porttime)
# sowie /etc/porttime)
# account    requisite  pam_time.so
# account    requisite  pam_time.so


# Uncomment and edit /etc/security/access.conf if you need to
# Entfernen Sie die Auskommentierung und bearbeiten Sie /etc/security/access.conf, wenn Sie
# set access limits.
# Zugriffsbeschränkungen festlegen müssen.
# (Replaces /etc/login.access file)
# (Ersetzt die Datei /etc/login.access)
# account  required      pam_access.so
# account  required      pam_access.so


# Sets up user limits according to /etc/security/limits.conf
# Legt Benutzerbeschränkungen gemäß /etc/security/limits.conf fest
# (Replaces the use of /etc/limits in old login)
# (Ersetzt die Verwendung von /etc/limits im alten Login)
session    required  pam_limits.so
session    required  pam_limits.so


# Prints the status of the user's mailbox upon successful login
# Druckt den Status der Mailbox des Benutzers nach erfolgreicher Anmeldung
# (Replaces the `MAIL_CHECK_ENAB' option from login.defs).
# (Ersetzt die Option „MAIL_CHECK_ENAB” aus login.defs).
#
#
# This also defines the MAIL environment variable
# Dies definiert auch die Umgebungsvariable MAIL
# However, userdel also needs MAIL_DIR and MAIL_FILE variables
# Allerdings benötigt userdel auch die Variablen MAIL_DIR und MAIL_FILE
# in /etc/login.defs to make sure that removing a user
# in /etc/login.defs, um sicherzustellen, dass beim Entfernen eines Benutzers
# also removes the user's mail spool file.
# auch die Mail-Spool-Datei des Benutzers entfernt wird.
# See comments in /etc/login.defs
# Siehe Kommentare in /etc/login.defs
session    optional  pam_mail.so standard
session    optional  pam_mail.so standard


# Create a new session keyring.
# Erstellen Sie einen neuen Sitzungsschlüsselbund.
session    optional  pam_keyinit.so force revoke
session    optional  pam_keyinit.so force revoke


Aktuelle Version vom 16. November 2025, 08:20 Uhr

/etc/pam.d/login

Beschreibung

#
# Die PAM-Konfigurationsdatei für den Shadow-Dienst „login”
#

# Erzwingt eine minimale Verzögerung im Falle eines Fehlers (in Mikrosekunden).
# (Ersetzt die Einstellung „FAIL_DELAY” aus login.defs)
# Beachten Sie, dass andere Module möglicherweise eine andere minimale Verzögerung erfordern. (Um beispielsweise
# jegliche Verzögerung zu deaktivieren, sollten Sie die Option „nodelay” zu pam_unix hinzufügen)
auth       optional   pam_faildelay.so  delay=3000000

# Gibt vor jeder Anmeldeaufforderung eine Problemdatei aus (ersetzt die
# Option ISSUE_FILE aus login.defs). Zur Verwendung auskommentieren.
# auth       required   pam_issue.so issue=/etc/issue

# Verbietet andere Anmeldungen als root, wenn /etc/nologin vorhanden ist
# (Ersetzt die Option „NOLOGINS_FILE” aus login.defs)
auth       requisite  pam_nologin.so

# SELinux muss die erste Sitzungsregel sein. Dadurch wird sichergestellt, dass alle
# verbleibenden Kontexte gelöscht wurden. Ohne diese Regel ist es möglich
#, dass ein Modul Code in der falschen Domäne ausführt.
# Wenn das Modul vorhanden ist, wäre „required” ausreichend (wenn SELinux
# deaktiviert ist, wird dies erfolgreich zurückgegeben).
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close

# Legt das Prozessattribut „loginuid“ fest.
session    required     pam_loginuid.so

# Druckt die Meldung des Tages nach erfolgreicher Anmeldung aus.
# (Ersetzt die Option „MOTD_FILE” in login.defs)
# Diese enthält einen dynamisch generierten Teil aus /run/motd.dynamic
# und einen statischen (vom Administrator bearbeitbaren) Teil aus /etc/motd.
session    optional   pam_motd.so motd=/run/motd.dynamic
session    optional   pam_motd.so noupdate

# SELinux muss bei der Anmeldung eingreifen, um sicherzustellen, dass der Prozess
# im richtigen Standard-Sicherheitskontext gestartet wird. Danach sollten nur noch Sitzungen ausgeführt werden, die
# für die Ausführung im Kontext des Benutzers vorgesehen sind.
# pam_selinux.so ändert den SELinux-Kontext des verwendeten TTY und konfiguriert
# SELinux so, dass beim nächsten execve()-Aufruf zum Benutzerkontext gewechselt wird.
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
# Wenn das Modul vorhanden ist, würde „required” ausreichen (wenn SELinux
# deaktiviert ist, wird dies erfolgreich zurückgegeben).

# Dieses Modul analysiert Umgebungskonfigurationsdateien
# und ermöglicht Ihnen auch die Verwendung einer erweiterten Konfiguration.
# file /etc/security/pam_env.conf.
#
# parsing /etc/environment needs "readenv=1"
session       required   pam_env.so readenv=1
# Lokale Variablen können auch in /etc/default/locale gesetzt werden
# Das Lesen dieser Datei *zusätzlich zu /etc/environment* schadet nicht
session       required   pam_env.so readenv=1 envfile=/etc/default/locale

# Standard Un*x authentication.
@include common-auth

# Dadurch können einem Benutzer bestimmte zusätzliche Gruppen zugewiesen werden
# basierend auf Faktoren wie Tageszeit, tty, Dienst und Benutzer.
# Bitte bearbeiten Sie /etc/security/group.conf entsprechend Ihren Anforderungen
# (ersetzt die Option „CONSOLE_GROUPS” in login.defs).
auth       optional   pam_group.so

# Entfernen Sie den Kommentar und bearbeiten Sie /etc/security/time.conf, wenn Sie
# eine zeitliche Beschränkung für Anmeldungen festlegen möchten.
# (Ersetzt die Option „PORTTIME_CHECKS_ENAB” aus login.defs
# sowie /etc/porttime)
# account    requisite  pam_time.so

# Entfernen Sie die Auskommentierung und bearbeiten Sie /etc/security/access.conf, wenn Sie
# Zugriffsbeschränkungen festlegen müssen.
# (Ersetzt die Datei /etc/login.access)
# account  required       pam_access.so

# Legt Benutzerbeschränkungen gemäß /etc/security/limits.conf fest
# (Ersetzt die Verwendung von /etc/limits im alten Login)
session    required   pam_limits.so

# Druckt den Status der Mailbox des Benutzers nach erfolgreicher Anmeldung
# (Ersetzt die Option „MAIL_CHECK_ENAB” aus login.defs).
#
# Dies definiert auch die Umgebungsvariable MAIL
# Allerdings benötigt userdel auch die Variablen MAIL_DIR und MAIL_FILE
# in /etc/login.defs, um sicherzustellen, dass beim Entfernen eines Benutzers
# auch die Mail-Spool-Datei des Benutzers entfernt wird.
# Siehe Kommentare in /etc/login.defs
session    optional   pam_mail.so standard

# Erstellen Sie einen neuen Sitzungsschlüsselbund.
session    optional   pam_keyinit.so force revoke

# Standard Un*x account and session
@include common-account
@include common-session
@include common-password
Abgerufen von „https://wiki.foxtom.de/index.php?title=/etc/pam.d/login&oldid=158021