Linux/SELinux/06 Benutzer/PAM: Unterschied zwischen den Versionen
| Zeile 36: | Zeile 36: | ||
=== pam_selinux.so === | === pam_selinux.so === | ||
[[Pam_selinux.so]] | [[Pam_selinux.so]] || Sicherheitskontext für den nächstes gestarteten Prozess festlegen | ||
== Erweiterte Isolation == | == Erweiterte Isolation == | ||
Version vom 12. Juni 2026, 16:33 Uhr
Linux/SELinux/06 Benutzer/PAM - PAM-Module für SELinux
Beschreibung
PAM-Architektur
Anwendungen können Vorgänge im Zusammenhang mit der Anmeldung an das System delegieren
- modulares Subsystem
Anwendungen
- Konfiguration
/etc/pam.d/
- Ein Modul je jeden Dienst
Grundlegende PAM-Gruppen
| Gruppe | Beschreibung |
|---|---|
| auth | Bestätigung der Identität des Benutzers und initiale Vergabe von Credentials |
| account | Prüfung, ob der Zugriff auf den Dienst als solcher erlaubt ist |
| password | Änderung des Authentifizierungs-Tokens |
| session | Aktionen, die vor der Bereitstellung einer Sitzung und nach deren Beendigung ausgeführt werden müssen |
- Gruppe session
- Für SELinux ist insbesondere die Gruppe session kritisch
- da die Zuweisung des SELinux-Kontexts eines Benutzers zur Vorbereitung der Laufzeitumgebung für die zukünftige Sitzung gehört
pam_selinux.so
Pam_selinux.so || Sicherheitskontext für den nächstes gestarteten Prozess festlegen
Erweiterte Isolation
Hier werden noch einige weitere Module behandelt
pam_sepermit.so
pam_namespace.so
pam_oddjob_mkhomedir.so