Pam sepermit.so: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „=== pam_sepermit.so === ; Anmeldung am System Modul '''erlaubt oder verweigert die Anmeldung am System''' * abhängig davon, ob SELinux im Modus '''Enforcing''' arbeitet ; Gruppen Es stellt die Gruppen auth und account bereit * beteiligt sich also unmittelbar an der Entscheidung, ob ein Login in der Kette weiter zugelassen wird ; Regeln ; Wenn ein Benutzer oder eine Gruppe auf eine Regel aus der Konfiguration passt, wird die Anmeldung nur im Enforcing-M…“ |
|||
| Zeile 1: | Zeile 1: | ||
=== pam_sepermit.so === | === pam_sepermit.so === | ||
; Anmeldung am System | ; Anmeldung am System | ||
Erlaubt oder verweigert die Anmeldung am System | |||
* abhängig davon, ob SELinux im Modus '''Enforcing''' arbeitet | * abhängig davon, ob SELinux im Modus '''Enforcing''' arbeitet | ||
Aktuelle Version vom 12. Juni 2026, 17:51 Uhr
pam_sepermit.so
- Anmeldung am System
Erlaubt oder verweigert die Anmeldung am System
- abhängig davon, ob SELinux im Modus Enforcing arbeitet
- Gruppen
Es stellt die Gruppen auth und account bereit
- beteiligt sich also unmittelbar an der Entscheidung, ob ein Login in der Kette weiter zugelassen wird
- Regeln
- Wenn ein Benutzer oder eine Gruppe auf eine Regel aus der Konfiguration passt, wird die Anmeldung nur im Enforcing-Modus erlaubt
Im Modus permissive oder disabled gibt das Modul einen Zugriffsfehler zurück
- Für Benutzer, die zu keinem Eintrag passen, wird die Entscheidung an andere PAM-Module weitergereicht
Das Modul wird eingesetzt, wenn eine Anmeldung nur dann erlaubt werden soll, wenn SELinux die Richtlinie tatsächlich erzwingt
Konfiguration
- /etc/security/sepermit.conf
Standardmäßig
- Falls diese Datei nicht vorhanden ist, wird die Vendor-Datei aus /usr/share/pam/security/sepermit.conf verwendet
- Aufbau
Jede Zeile enthält eine der folgenden Varianten
- einen konkreten Benutzernamen (zum Beispiel alice)
- eine Gruppe über @group (zum Beispiel @devops)
- einen SELinux user über %seuser (zum Beispiel %user_u)
- Exclusive und ignore
Zusätzlich können die Optionen exclusive oder ignore angegeben werden
| exclusive | beschränkt den Benutzer auf eine einzige Login-Sitzung und beendet seine Prozesse beim Abmelden |
| ignore | bewirkt, dass das Modul im Enforcing-Modus PAM_IGNORE und in den übrigen Modi PAM_AUTH_ERR zurückgibt |
Die weitere Entscheidung trifft dann der restliche PAM-Stack