LinuxTag 2002 Konferenz-CD-ROM  
[Hauptseite][Vortr臠e][Bcher][History][Software][Sponsoren] [Abspann]

Grußwort von Dr. Müller
Die Vorträge

PAM - User Security fr Nichtschwimmer
von Florian Brand
Red Hat GmbH

Florian Brand ist Trainer fr Red Hat in Stuttgart. Unter anderem erstellt er Kursunterlagen zu Apache und Linux Security.

In diesem Vortrag geht es um das Herzstck der Linux Authentifizierung - PAM. Was geschieht eigentlich, wenn ein User versucht sich anzumelden?

Zun臘hst eine kurze Einfhrung im Trockenen:

  • Was ist das Konzept der sogenannten Pluggable Authentication Modules ?

    PAM ersetzt den alten chaotischen Zustand, wo jeder Dienst seine eigenen Security-Funktionen verwendete. Durch die Abstraktionsschicht von PAM knen Dienste auf die gleichen getesteten Funktionen zurckgreifen. Ausserdem ist es leicht mlich die Authentifizierung an lokale Begebenheiten anzupassen ohne Applikationen neu kompilieren zu mssen.

  • Welche Vorteile habe ich dadurch?

    Als Entwickler spare ich die Neuerfindung des Rades, als Administrator kann ich flexibel die Authentifizierung an meine Umgebung anpassen und erweitern.

  • Gibt es PAM nur fr Linux ?

    Auch wenn PAM zun臘hst fr Linux entwickelt wurde, ist inzwischen eine Implementierung fr Solaris verfgbar. Ausserdem strebt die X/Open Group den Standard XXSO-PAM an.

Nach diesen Trockenbungen wird der Teilnehmer langsam in tiefere Gew舖ser der User-Security gefhrt. Dabei liegt der Fokus stets auf praxisnahen Szenarien.

  • Wie verhindert ich das User alte Passwter "recyclen"?

    Durch eine einfache Anpassung von pam_unix kann der User alte Passwter nicht wieder verwenden. (Passwort-Rotation)

  • Kann man einzelne Dienste fr einen bestimmten Anwender sperren?

    Mit pam_listfile ist es mlich fr einen einzelnen Dienst eine Sperrliste zu erstellen. Das wird zum Beispiel vom FTP Server verwendet (/etc/ftpusers)

Nun ist es Zeit den Freischwimmer zu machen:

  • Einschr舅kung von System Resourcen fr einzelne User

    Mit pam_limits ist es mlich, Systemresourcen wie CPU oder Memory Auslastung User- bzw. Gruppenbasiert einzuschr舅ken.

  • Anbindung von Verzeichnisdiensten (NIS, LDAP, SMB)

    Mit der Anbindung von Verzeichnis-Diensten wird eine zentrale Userverwaltung geschaffen. Wie muss man PAM konfigurieren, damit lokale und Netzwerk-User nebeneinander existieren knen? Mittels der bereits bekannten pam_listfile knen auch NIS/LDAP User gesperrt werden.

    • Material zum Vortrag: Leider kein weiteres Material vorhanden.

  LinuxTag 2002 Konferenz-CD-ROM © 2002 LinuxTag e.V.