PIN, Gesichtserkennung, zweiter Faktor: komfortable Linux-Authentifizierung

Noch regelt das Passwort den Zugang zum Linux-Desktop. Doch mit passenden PAM kann man seine Berechtigung mit anderen Möglichkeiten nachweisen.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht
Spannende PAM-Module für komfortable Linux-Authentifizierung
Lesezeit: 16 Min.
Inhaltsverzeichnis

Fertige Pluggable Authentications Modules (PAM) für Linux gibt es zuhauf, die Zusatzfunktionen für die Authentifizierung bereitstellen. Bei Ubuntu zeigt der Befehl

apt search libpam

eine ganze Reihe, die direkt zur Installation bereitstehen. Weitere finden sich in diversen Entwickler-Repositories etwa auf GitHub. Man kann auch einfach mal in /lib/security/ beziehungsweise /lib/x86_64-linux-gnu/security/ stöbern. Dort liegen die jeweiligen .so-Dateien.

Zu beachten ist, dass manche PAM-Module nicht zur Authentifizierung gedacht sind, sondern diese um Zusatzfunktionen erweitern. So kann man etwa mit pam_cracklib neue Passwörter gegen eine Liste beliebter aber schwacher Kennwörter abgleichen und diese dann ablehnen. pam_ecryptfs bindet nach erfolgreicher Authentifizierung mit dem Passwort auch gleich noch eCryptfs-verschlüsselte Home-Verzeichnisse ein. Und mit pam_time kann man bestimmte, authentifizierungspflichtige Vorgänge auf einen festgelegten Zeitraum beschränken und etwa einzelnen Anwendern den Login außerhalb der Arbeitszeiten untersagen (was aber keine existierenden Sitzungen beendet). Erste Details zum Einsatz liefert in aller Regel schon ein Aufruf von man pam_XXXX.