Einige PAM-bezogene Fragen

Rund um die Sicherheit des Systems und die Applikationen
Thomas_84
Posts: 3
Joined: 2012-01-27 12:30

Einige PAM-bezogene Fragen

Post by Thomas_84 » 2012-01-27 13:04

Guten Tag,

es gibt einen SUSE Linux Enterprise Server 10 bei dem ich diverse Einstellungen durchtesten möchte.

Ich habe gelesen, dass alle Einstellungen, die ich vornehmen möchte allesamt mit PAM geregelt werden.

1. Ich möchte die Anzahl der erfolglosen Loginversuche auf 3 beschränken.

Ich habe entsprechend der Seite http://linux.die.net/man/8/pam_tally folgende Zeile zu der Datei /etc/pam.d/login hinzugefügt:

Code: Select all

auth required pam_tally.so deny=3


Dies hatte jedoch keinerlei Effekt.

2. Ich möchte die Passwortlänge und die Komplexität einstellen

Ich habe in der Datei /etc/pam.d/passwd die Zeile

Code: Select all

password required pam_cracklib.so minlen=8 dcredit=-1


hinzugefügt um zu erreichen, dass die Mindestlänge 8 beträgt und mindestens eine Zahl enthalten sein muss. Auch dies hatte keinen Effekt.

3. Ich möchte mir nach dem Login den letzten erfolgreichen und den letzten Fehlgeschlagenen Login bzw. Loginversuch anzeichen lassen.

Dafür habe ich in der Datei /etc/pam.d/login die Zeile

Code: Select all

session required pam_lastlog.so showfailed


eingefügt, die ebenfalls keinen Effekt hatte.


Ich würde gerene wissen welchen Denkfehler ich gemacht habe, bzw. wo die entsprechenden Einstellungen vorgenommen werden können.

Vielen Dank im Voraus. Ich bin für jede Hilfe dankbar.

User avatar
rudelgurke
Posts: 405
Joined: 2008-03-12 05:36

Re: Einige PAM-bezogene Fragen

Post by rudelgurke » 2012-01-27 13:57

Um welche Logins geht's denn ?

ssh / Webserver oder Anderes ?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Einige PAM-bezogene Fragen

Post by Joe User » 2012-01-27 14:11

PAM greift per Default nur bei Logins die direkt physisch, also per angeschlossener Tastatur, erfolgen. Logins per SSH, FTP, etc. werden von PAM nur dann berücksichtigt, wenn die entsprechenden Dienste mit PAM-Unterstützung kompiliert wurden und zudem auch nur PAM zur Authentifizierung konfiguriert wurde.

Mit anderen Worten: Für Remote-Logins ist PAM per Default nicht vorgesehen und bei OpenSSH zum Beispiel so gar gefährlich (siehe Kommentar in sshd_config).

Persönliche Meinung: Ich traue PAM, zumindest in der Linux-Version, nicht, da es in der Vergangenheit zu viele Lücken hatte und zeitweise von seinen Entwicklern nicht beachtet, sprich gefixt und weiterentwickelt, wurde. Daher enthalten meine produktiven Linuxinstallationen per se keinerlei PAM-Unterstützung, was bei Gentoo einfach zu realisieren ist.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Thomas_84
Posts: 3
Joined: 2012-01-27 12:30

Re: Einige PAM-bezogene Fragen

Post by Thomas_84 » 2012-01-27 16:41

Vielen Dank für die Antworten.

Es handelt sich um einen Login über SSH. Soweit ich es verstanden habe würde es also funktionieren, wenn ich mich direkt am Rechner authetifizieren würde?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Einige PAM-bezogene Fragen

Post by Joe User » 2012-01-27 17:10

Thomas_84 wrote:Es handelt sich um einen Login über SSH.

Und den solltest Du aus Sicherheitsgründen nicht per PAM abwickeln.

Thomas_84 wrote:Soweit ich es verstanden habe würde es also funktionieren, wenn ich mich direkt am Rechner authetifizieren würde?

Das hast Du richtig verstanden.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Thomas_84
Posts: 3
Joined: 2012-01-27 12:30

Re: Einige PAM-bezogene Fragen

Post by Thomas_84 » 2012-01-30 09:37

Dann müsste es doch ebenfalls funktionieren, für den Fall, dass ich mich per SSH auf den Rechner einlogge und anschließend mit SU einen Userwechsel vornehme und z.B. passwd ausführe, welches ebenfalls mit PAM geregelt wird.

In diesem Fall funktioniert eine Einstellung der Passwortlänge mittels PAM aber nicht.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Einige PAM-bezogene Fragen

Post by Joe User » 2012-01-30 12:29

Da Du per SSH eingeloggt bist, greift PAM auch bei su/passwd nicht.

Was möchtest Du mit denn überhaupt bewirken? Vielleicht gibt es ja Alternativen.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

cooky1976
Posts: 63
Joined: 2004-02-03 13:14

Re: Einige PAM-bezogene Fragen

Post by cooky1976 » 2012-02-10 17:36

Hallo,

die Fragestellung, die hier aufgeworfen wird, finde ich sehr interessant.

Mich beschäftigt es auch schon längere Zeit, ob man Passwort-Richtlinien, welche man ja sehr einfach im PAM konfigurieren kann, auch mit SSH durchdrücken kann. Dass es für SSH kritisch sein könnte, einen User bei x-Fehlversuchen zu sperren, leuchtet mir ein, da auf SSH ja von außerhalb zugegriffen werden kann.

Ein Durchlesen der sshd_config-Dateien brachte mir allerdings in Bezug auf Passwort-Richtlinien keinen Erfolg.

Über einen Rat wäre ich hier sehr dankbar.

Schönes Wochenende

cooky1976

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Einige PAM-bezogene Fragen

Post by Joe User » 2012-02-10 18:01

Du suchst "MaxAuthTries" ;)
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

cooky1976
Posts: 63
Joined: 2004-02-03 13:14

Re: Einige PAM-bezogene Fragen

Post by cooky1976 » 2012-02-11 00:01

Hallo,

danke für die schnelle Antwort.

So, ich versuche mal die Gedanken, die ich habe, weiter zu spinnen.

Wenn ich jetzt als über ssh-eingeloggter User das Passwort ändere, dann kommt wieder PAM zum Tragen, da ich ja in der Konsole etwas ändere. D.h. die Richtlinien würden hier wieder greifen.

Wenn dem so wäre, hätte ich keine Fragen mehr.

Schönes Wochenende

cooky1976

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Einige PAM-bezogene Fragen

Post by Joe User » 2012-02-11 02:03

cooky1976 wrote:Wenn ich jetzt als über ssh-eingeloggter User das Passwort ändere, dann kommt wieder PAM zum Tragen, da ich ja in der Konsole etwas ändere. D.h. die Richtlinien würden hier wieder greifen.

Auch hierbei sollte PAM nicht greifen, da es keine lokale Anmeldung ist.

Probiere es einfach mal aus und berichte.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.