Linux/SELinux/06 Benutzer/PAM: Unterschied zwischen den Versionen
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 39: | Zeile 39: | ||
! Aufgabe !! Module !! Beschreibung | ! Aufgabe !! Module !! Beschreibung | ||
|- | |- | ||
| || [[ | | || [[pam_selinux.so]] || Sicherheitskontext für den nächstes gestarteten Prozess festlegen | ||
|} | |} | ||
| Zeile 45: | Zeile 45: | ||
{| class="wikitable options big" | {| class="wikitable options big" | ||
! Aufgabe !! Module !! Beschreibung | ! Aufgabe !! Module !! Beschreibung | ||
|- | |- | ||
| || [[ | | || [[pam_sepermit.so]] || | ||
|- | |- | ||
| || [[ | | || [[pam_namespace.so]] || | ||
|- | |||
| || [[pam_oddjob_mkhomedir.so]] || | |||
|} | |} | ||
Aktuelle Version vom 12. Juni 2026, 16:40 Uhr
Linux/SELinux/06 Benutzer/PAM - PAM-Module für SELinux
Beschreibung
PAM-Architektur
Anwendungen können Vorgänge im Zusammenhang mit der Anmeldung an das System delegieren
- modulares Subsystem
Anwendungen
- Konfiguration
/etc/pam.d/
- Ein Modul je jeden Dienst
Grundlegende PAM-Gruppen
| Gruppe | Beschreibung |
|---|---|
| auth | Bestätigung der Identität des Benutzers und initiale Vergabe von Credentials |
| account | Prüfung, ob der Zugriff auf den Dienst als solcher erlaubt ist |
| password | Änderung des Authentifizierungs-Tokens |
| session | Aktionen, die vor der Bereitstellung einer Sitzung und nach deren Beendigung ausgeführt werden müssen |
- Gruppe session
Für SELinux ist insbesondere die Gruppe session kritisch
- da die Zuweisung des SELinux-Kontexts eines Benutzers zur Vorbereitung der Laufzeitumgebung für die zukünftige Sitzung gehört
pam_selinux.so
| Aufgabe | Module | Beschreibung |
|---|---|---|
| pam_selinux.so | Sicherheitskontext für den nächstes gestarteten Prozess festlegen |
Weitere Isolation
| Aufgabe | Module | Beschreibung |
|---|---|---|
| pam_sepermit.so | ||
| pam_namespace.so | ||
| pam_oddjob_mkhomedir.so |