Menü
c't Magazin

PIN, Gesichtserkennung, zweiter Faktor: komfortable Linux-Authentifizierung

Noch regelt das Passwort den Zugang zum Linux-Desktop. Doch mit passenden PAM kann man seine Berechtigung mit anderen Möglichkeiten nachweisen.

vorlesen Drucken Kommentare lesen

Inhaltsverzeichnis

Fertige Pluggable Authentications Modules (PAM) für Linux gibt es zuhauf, die Zusatzfunktionen für die Authentifizierung bereitstellen. Bei Ubuntu zeigt der Befehl

apt search libpam

eine ganze Reihe, die direkt zur Installation bereitstehen. Weitere finden sich in diversen Entwickler-Repositories etwa auf GitHub. Man kann auch einfach mal in /lib/security/ beziehungsweise /lib/x86_64-linux-gnu/security/ stöbern. Dort liegen die jeweiligen .so-Dateien.

Zu beachten ist, dass manche PAM-Module nicht zur Authentifizierung gedacht sind, sondern diese um Zusatzfunktionen erweitern. So kann man etwa mit pam_cracklib neue Passwörter gegen eine Liste beliebter aber schwacher Kennwörter abgleichen und diese dann ablehnen. pam_ecryptfs bindet nach erfolgreicher Authentifizierung mit dem Passwort auch gleich noch eCryptfs-verschlüsselte Home-Verzeichnisse ein. Und mit pam_time kann man bestimmte, authentifizierungspflichtige Vorgänge auf einen festgelegten Zeitraum beschränken und etwa einzelnen Anwendern den Login außerhalb der Arbeitszeiten untersagen (was aber keine existierenden Sitzungen beendet). Erste Details zum Einsatz liefert in aller Regel schon ein Aufruf von man pam_XXXX.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • c't, iX, Technology Review, Mac & i, Make, c't Fotografie direkt im Browser lesen
  • einmal anmelden – auf allen Geräten lesen - jederzeit kündbar
  • erster Monat gratis, danach monatlich 9,95 €
  • Wöchentlicher Newsletter mit persönlichen Leseempfehlungen des Chefredakteurs
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+