MHT Teil 2 Debian/FreeBSD: Der schönste Türsteher der Welt PAM

pamUnd weiter geht es mit der Serie der “Must-Have-Tools”.
Wobei ich zugeben muss, dieses MHT ist eigentlich auf jeder Unix-/Linuxmaschine installiert und bedarf im “Nomalfall” keiner weiteren Konfiguration.
Es ist PAM (Pluggable authentication module).

Was ich an PAM so mag ist eigentlich simpel, ich kann auf jede Art und Weise einen Benutzer identifizieren indem ich ein Modul implementiere.
Ich kann somit Serverdienste/Anwendungen von der Benutzerauthentifizierung trennen. Damit kann ich sie erneuern, kombinieren, oder auch zusätzlich absichern. PAM kümmert sich um Authentifizierung (Authentifiziert Benutzer und gibt Benutzerinformationen an Anwendungen weiter), Berechtigungen, Sitzungs- und Passwortmangement.
Also muss es sich nicht immer nur um einen Single Sign-on handeln, sondern ich kann auch einen kompletten Ablauf generieren, wenn es sein muss.
Nehmen wir als Beispiel mal eine freie Implementation:

  • Bitte ziehen Sie Ihren Finger über den Fingerprint-Reader ( fprint )
  • Nutze Sie bitte das OTP ( One time password) von der google-authenticate -App auf Ihrem Android
  • Stecken Sie Ihren USB-Token in den USB-Port pam_usb.
  •  Melde Sie sich mit Ihrem LDAP-Passwort an.

Gut, man würde nun ein wenig den Benutzer mit diesem Ablauf quälen, aber man hätte schon vier Hürden für den Zugang an einen Rechner. Wenn dieser nun auch noch verschlüsselt ist, wäre dies noch eine Hürde mehr ( welche ich unbedingt empfehle, da man ja sonst per Livesystem PAM ausser Kraft setzen kann). Ich mag Hürden für nicht berechtigte Benutzer und pam bietet da einige Mittel um diese einfach zu implementieren.
Eine sehr gute PAM-Einführung hatte das Linux-Magazin mal im Jahre 2004 gemacht. Genau jene brachte mich auch dazu mir PAM mal genau anzuschauen und damit zu spielen.

Seitdem ist PAM ist nicht nur eine schöne Abkürzung für einen Frauenname für mich, sondern auch ein tolles Must-Have-Tool. Vielleicht habe ich den/die Eine/n mal auf eine Idee gebracht. ツ