Einige PAM-bezogene Fragen

[Thomas_84]

Guten Tag,

es gibt einen SUSE Linux Enterprise Server 10 bei dem ich diverse Einstellungen durchtesten möchte.

Ich habe gelesen, dass alle Einstellungen, die ich vornehmen möchte allesamt mit PAM geregelt werden.

1. Ich möchte die Anzahl der erfolglosen Loginversuche auf 3 beschränken.

Ich habe entsprechend der Seite http://linux.die.net/man/8/pam_tally folgende Zeile zu der Datei /etc/pam.d/login hinzugefügt:

Code: Select all

auth required pam_tally.so deny=3

Dies hatte jedoch keinerlei Effekt.

2. Ich möchte die Passwortlänge und die Komplexität einstellen

Ich habe in der Datei /etc/pam.d/passwd die Zeile

Code: Select all

password required pam_cracklib.so minlen=8 dcredit=-1

hinzugefügt um zu erreichen, dass die Mindestlänge 8 beträgt und mindestens eine Zahl enthalten sein muss. Auch dies hatte keinen Effekt.

3. Ich möchte mir nach dem Login den letzten erfolgreichen und den letzten Fehlgeschlagenen Login bzw. Loginversuch anzeichen lassen.

Dafür habe ich in der Datei /etc/pam.d/login die Zeile

Code: Select all

session required pam_lastlog.so showfailed

eingefügt, die ebenfalls keinen Effekt hatte.


Ich würde gerene wissen welchen Denkfehler ich gemacht habe, bzw. wo die entsprechenden Einstellungen vorgenommen werden können.

Vielen Dank im Voraus. Ich bin für jede Hilfe dankbar.

[rudelgurke]

Um welche Logins geht's denn ?

ssh / Webserver oder Anderes ?

[Joe User]

PAM greift per Default nur bei Logins die direkt physisch, also per angeschlossener Tastatur, erfolgen. Logins per SSH, FTP, etc. werden von PAM nur dann berücksichtigt, wenn die entsprechenden Dienste mit PAM-Unterstützung kompiliert wurden und zudem auch nur PAM zur Authentifizierung konfiguriert wurde.

Mit anderen Worten: Für Remote-Logins ist PAM per Default nicht vorgesehen und bei OpenSSH zum Beispiel so gar gefährlich (siehe Kommentar in sshd_config).

Persönliche Meinung: Ich traue PAM, zumindest in der Linux-Version, nicht, da es in der Vergangenheit zu viele Lücken hatte und zeitweise von seinen Entwicklern nicht beachtet, sprich gefixt und weiterentwickelt, wurde. Daher enthalten meine produktiven Linuxinstallationen per se keinerlei PAM-Unterstützung, was bei Gentoo einfach zu realisieren ist.

[Thomas_84]

Vielen Dank für die Antworten.

Es handelt sich um einen Login über SSH. Soweit ich es verstanden habe würde es also funktionieren, wenn ich mich direkt am Rechner authetifizieren würde?

[Joe User]

Es handelt sich um einen Login über SSH.

Und den solltest Du aus Sicherheitsgründen nicht per PAM abwickeln.

Soweit ich es verstanden habe würde es also funktionieren, wenn ich mich direkt am Rechner authetifizieren würde?

Das hast Du richtig verstanden.

[Thomas_84]

Dann müsste es doch ebenfalls funktionieren, für den Fall, dass ich mich per SSH auf den Rechner einlogge und anschließend mit SU einen Userwechsel vornehme und z.B. passwd ausführe, welches ebenfalls mit PAM geregelt wird.

In diesem Fall funktioniert eine Einstellung der Passwortlänge mittels PAM aber nicht.

[Joe User]

Da Du per SSH eingeloggt bist, greift PAM auch bei su/passwd nicht.

Was möchtest Du mit denn überhaupt bewirken? Vielleicht gibt es ja Alternativen.

[cooky1976]

Hallo,

die Fragestellung, die hier aufgeworfen wird, finde ich sehr interessant.

Mich beschäftigt es auch schon längere Zeit, ob man Passwort-Richtlinien, welche man ja sehr einfach im PAM konfigurieren kann, auch mit SSH durchdrücken kann. Dass es für SSH kritisch sein könnte, einen User bei x-Fehlversuchen zu sperren, leuchtet mir ein, da auf SSH ja von außerhalb zugegriffen werden kann.

Ein Durchlesen der sshd_config-Dateien brachte mir allerdings in Bezug auf Passwort-Richtlinien keinen Erfolg.

Über einen Rat wäre ich hier sehr dankbar.

Schönes Wochenende

cooky1976

[Joe User]

Du suchst "MaxAuthTries" ;)

[cooky1976]

Hallo,

danke für die schnelle Antwort.

So, ich versuche mal die Gedanken, die ich habe, weiter zu spinnen.

Wenn ich jetzt als über ssh-eingeloggter User das Passwort ändere, dann kommt wieder PAM zum Tragen, da ich ja in der Konsole etwas ändere. D.h. die Richtlinien würden hier wieder greifen.

Wenn dem so wäre, hätte ich keine Fragen mehr.

Schönes Wochenende

cooky1976

[Joe User]

Wenn ich jetzt als über ssh-eingeloggter User das Passwort ändere, dann kommt wieder PAM zum Tragen, da ich ja in der Konsole etwas ändere. D.h. die Richtlinien würden hier wieder greifen.

Auch hierbei sollte PAM nicht greifen, da es keine lokale Anmeldung ist.

Probiere es einfach mal aus und berichte.