... | ... | @@ -66,7 +66,7 @@ Sollte die Anmeldung in der ersten Zeile erfolgreich sein, bewirkt „success=1 |
|
|
|
|
|
Das letzte Element in einer Konfigurationszeile kann durch Leerzeichen getrennte Moduloptionen enthalten. Bei „pam_unix.so“ gibt es beispielsweise „nullok_secure“, was eine Anmeldung auch mit einem leeren Passwort erlaubt. Weitere Informationen zu den Optionen finden Sie in der Hilfe zum jeweiligen Modul, etwa über man pam_unix.
|
|
|
|
|
|
# 5. Backup als Vorsichtsmaßnahme anlegen
|
|
|
## 5. Backup als Vorsichtsmaßnahme anlegen
|
|
|
Bevor Sie etwas an der PAM-Konfiguration ändern, erstellen Sie ein Backup des Ordners „/etc/pam.d“. Bei Fehlern besteht akute Gefahr, dass Sie sich nicht mehr anmelden können. In diesem Fall hilft nur noch ein Linux-Livesystem von einer DVD oder einem USB-Stick. Passende Livesysteme finden Sie auf der LinuxWelt-DVD. Empfehlenswert ist beispielsweise das LinuxWelt-Surfsystem.
|
|
|
|
|
|
Über das Menü und „Systemwerkzeuge“ starten Sie den Dateimanager Caja (rotes Icon) als Systemverwalter (Passwort: toor). Unter „Geräte“ finden Sie Ihre Linux-Partition auf der Festplatte. Über den Kontextmenüpunkt „Mit Pluma öffnen“ laden Sie eine Konfigurationsdatei in den Editor und können den Inhalt korrigieren. Bei Bedarf ersetzen Sie die Dateien unter „/etc/pam.d“ durch das Backup.
|
... | ... | @@ -121,6 +121,37 @@ aus. Der Wechsel zum Systemverwalterkonto funktioniert jetzt mit der in „/etc/ |
|
|
|
|
|
Bauen Sie „@include inc_pin“ entsprechend in die Dateien „/etc/pam.d/gdm-password“ sowie „/etc/pam.d/polkit-1“ ein. Dann können Sie die PIN für die Anmeldung an der grafischen Oberfläche, ferner zum Entsperren und zur Legitimierung für höhere Rechte verwenden.
|
|
|
|
|
|
## 7. Authentifizierung über einen USB-Stick
|
|
|
Über eine Zwei-Faktor-Authentifizierung lässt sich die Sicherheit ohne Auswirkung auf die Bequemlichkeit erhöhen. Den größten Komfort bietet ein USB-Stick, der verbunden sein muss, wenn Sie sich mit einer PIN anmelden wollen. Andernfalls funktioniert nur das Linux-Standardpasswort.
|
|
|
|
|
|
Das dafür nötige PAM-Modul nebst zusätzlichen Tools ist zur Zeit nur bis einschließlich Ubuntu 18.04 verfügbar und dort mit diesen drei Befehlszeilen zu installieren:
|
|
|
|
|
|
`sudo add-apt-repository ppa:promasu/libpam-usb`
|
|
|
`sudo apt-get update`
|
|
|
`sudo apt install libpam-usb python-gi`
|
|
|
|
|
|
Verbinden Sie einen USB-Stick mit dem PC. Er kann mit einem beliebigen, von Linux unterstützten Dateisystem formatiert sein. Mit dem Kommando
|
|
|
|
|
|
`sudo pamusb-conf --add-device myDevice`
|
|
|
|
|
|
richten Sie den Stick ein und mit
|
|
|
|
|
|
`sudo pamusb-conf –add-user [Benutzer]`
|
|
|
|
|
|
fügen Sie einen Benutzer hinzu. Ersetzen Sie den Platzhalter „[Benutzer]“ durch den Namen des Benutzers, der den USB-Stick zur Anmeldung nutzen soll. Mit der Zeile
|
|
|
|
|
|
`pamusb-check [Benutzer]`
|
|
|
|
|
|
prüfen Sie, ob die Anmeldung funktioniert.
|
|
|
|
|
|
Erstellen Sie eine PAM-Konfigurationsdatei, beispielsweise „/etc/pam.d/inc_usb“ (siehe Abbildung). Unsere Konfiguration fragt zuerst die PIN ab und danach den USB-Stick. Ist der USB-Stick nicht verbunden, muss die Anmeldung über das Linux-Passwort erfolgen. Binden Sie die Datei entsprechend Punkt 6 in die gewünschten Konfigurationsdateien ein.
|
|
|
|
|
|
## Weitere Module für PAM
|
|
|
Mit zusätzlicher Hardware lassen sich weitere Authentifizierungsmethoden nutzen. Relativ zuverlässig arbeitet ein Fingerabdrucksensor, wie er in einigen Notebooks zu finden ist. Voraussetzung ist, dass der Sensor von Linux erkannt wird. Die einzelnen Schritte der Konfiguration haben wir unter www.pcwelt.de/2111908 beschrieben.
|
|
|
Eine weitere biometrische Methode ist die Gesichtserkennung. Dafür benötigen Sie eine mit Windows Hello kompatible Kamera. Das Verfahren gilt als nicht besonders zuverlässig und sollte daher nur als Komponente einer Zwei-Faktor-Authentifizierung verwendet werden. Die nötige Software und eine Installationsanleitung finden Sie unter https://github.com/boltgolt/howdy.
|
|
|
|
|
|
Ebenfalls praktisch ist ein Smartphone, das sich über Bluetooth mit dem PC verbindet. Dafür installieren Sie „libpam-blue“ und passen die Konfigurationsdatei „/etc/security/bluescan.conf“ an. Die PAM-Konfiguration verläuft ähnlich wie in Punkt 6. Zusätzlich ist das Tool Blueproximity nützlich. Darüber lässt sich der Bildschirm sperren, wenn die Bluetooth-Verbindung abbricht oder Sie sich weit genug mit dem Smartphone entfernen. Sobald Sie sich mit dem Smartphone dem PC nähern, wird der Bildschirm entsperrt.
|
|
|
|
|
|
## Passwörter und Verschlüsselung
|
|
|
**Mobile Geräte können schnell in fremde Hände geraten.** Sie sollten diese mit einem komplexeren Passwort oder Zwei-Faktor-Authentifizierung absichern (siehe Punkt 7). Jedoch auch das schützt Ihre Daten nur unzureichend. Mehr Sicherheit bietet die Verschlüsselung der Festplatte, wie auf Seite 60 beschrieben. Das Passwort zur Entschlüsselung sollte ausreichend kompliziert sein. Sie müssen es aber nur beim Systemstart eintippen. Für die Anmeldung beim System konfigurieren Sie das Auto-Log-in oder eine andere in diesem Artikel beschriebene Methode.
|
|
|
|