Linux/SELinux/06 Benutzer/PAM: Unterschied zwischen den Versionen
| Zeile 32: | Zeile 32: | ||
; Gruppe session | ; Gruppe session | ||
Für SELinux ist insbesondere die Gruppe session kritisch | |||
* da die Zuweisung des SELinux-Kontexts eines Benutzers zur Vorbereitung der Laufzeitumgebung für die zukünftige Sitzung gehört | * da die Zuweisung des SELinux-Kontexts eines Benutzers zur Vorbereitung der Laufzeitumgebung für die zukünftige Sitzung gehört | ||
Version vom 12. Juni 2026, 16:35 Uhr
Linux/SELinux/06 Benutzer/PAM - PAM-Module für SELinux
Beschreibung
PAM-Architektur
Anwendungen können Vorgänge im Zusammenhang mit der Anmeldung an das System delegieren
- modulares Subsystem
Anwendungen
- Konfiguration
/etc/pam.d/
- Ein Modul je jeden Dienst
Grundlegende PAM-Gruppen
| Gruppe | Beschreibung |
|---|---|
| auth | Bestätigung der Identität des Benutzers und initiale Vergabe von Credentials |
| account | Prüfung, ob der Zugriff auf den Dienst als solcher erlaubt ist |
| password | Änderung des Authentifizierungs-Tokens |
| session | Aktionen, die vor der Bereitstellung einer Sitzung und nach deren Beendigung ausgeführt werden müssen |
- Gruppe session
Für SELinux ist insbesondere die Gruppe session kritisch
- da die Zuweisung des SELinux-Kontexts eines Benutzers zur Vorbereitung der Laufzeitumgebung für die zukünftige Sitzung gehört
pam_selinux.so
Pam_selinux.so || Sicherheitskontext für den nächstes gestarteten Prozess festlegen
Erweiterte Isolation
Hier werden noch einige weitere Module behandelt
pam_sepermit.so
pam_namespace.so
pam_oddjob_mkhomedir.so