Scroll to navigation

PAM_SELINUX(8) Linux-PAM-Handbuch PAM_SELINUX(8)

BEZEICHNUNG

pam_selinux - PAM-Modul zum Setzen des Standard-Sicherheitskontextes

ÜBERSICHT

pam_selinux.so [open] [close] [restore] [nottys] [debug] [verbose] [select_context] [env_params] [use_current_range]

BESCHREIBUNG

pam_selinux ist ein PAM-Modul, das den standardmäßigen SELinux-Sicherheitskontext für den nächsten ausgeführten Prozess einrichtet.

Wenn eine neue Sitzung gestartet wird, berechnet der »open_session«-Anteil des Moduls den für den nächsten Aufruf von execve(2) zu verwendenden Sicherheitskontext, den Dateisicherheitskontext für das steuernde Terminal und den Sicherheitskontext für die Erzeugung eines neuen Kernel-Schlüsselbunds und richtet diese ein.

Wenn die Sitzung endet, stellt der »close_session«-Anteil des Moduls die alten Sicherheitskontexte wieder her, der vor der Änderung, die der »open_session«-Anteil des Moduls herbeiführte, wirksam waren.

Das Hinzufügen von pam_selinux in den PAM-Stapel könnte das Verhalten anderer PAM-Module, die Anwendungen ausführen, durcheinanderbringen. Um das zu vermeiden, sollte pam_selinux.so open direkt nach solchen Modulen in dem PAM-Stapel eingesetzt werden und pam_selinux.so close direkt davor. Wenn eine solche Anordnung nicht machbar ist, könnte pam_selinux.so restore verwandt werden, um vorübergehend die ursprünglichen Sicherheitskontexte wiederherzustellen.

OPTIONEN

open

Führt nur den »open_session«-Anteil des Moduls aus.

close

Führt nur den »close_session«-Anteil des Moduls aus.

restore

Stellt im »open_session«-Anteil des Moduls temporär den Sicherheitskontext wieder her, wie er vor dem vorherigen Aufruf des Moduls war. Ein weiterer Aufruf dieses Moduls ohne die Option »restore« wird den neuen Sicherheitskontext wiederherstellen.

nottys

Richtet den Sicherheitskontext des steuernden Terminals nicht ein.

debug

Schaltet die Fehlersuchmeldungen mittels syslog(3) ein.

verbose

Versucht den Benutzer zu informieren, wenn ein Sicherheitskontext gesetzt ist.

select_context

Versucht den Benutzer nach einer angepassten Sicherheitskontextrolle zu fragen. Falls MLS eingeschaltet ist, wird auch nach der Vertraulichkeitsstufe gefragt.

env_params

Versucht, eine angepasste Sicherheitskontextrolle aus der PAM-Umgebung zu erhalten. Falls MLS eingeschaltet ist, wird auch eine Vertraulichkeitsstufe erhalten. Diese Option und die Option »select_context« schließen sich gegenseitig aus. Die entsprechenden PAM-Umgebungsvariablen sind SELINUX_ROLE_REQUESTED, SELINUX_LEVEL_REQUESTED und SELINUX_USE_CURRENT_RANGE. Die ersten zwei Variablen erklären sich selbst und die letzte führt dazu, wenn sie auf 1 gesetzt ist, dass sich das PAM-Modul so verhält, als ob »use_current_range« auf der Befehlszeile des Moduls angegeben worden wäre.

use_current_range

Verwendet die Vertraulichkeitsstufe des aktuellen Prozesses für den Benutzerkontext anstatt die Vorgabestufe. Unterdrückt auch, dass Unterprozesse den Benutzer um eine Vertraulichkeitsstufe bitten oder sie aus der PAM-Umgebung ermitteln.

BEREITGESTELLTE MODULTYPEN

Es wird nur der Modultyp session bereitgestellt.

RÜCKGABEWERTE

PAM_SUCCESS

Der Sicherheitskontext wurde erfolgreich gesetzt.

PAM_SESSION_ERR

Es kann kein gültiger Kontext ermittelt oder gesetzt werden.

PAM_USER_UNKNOWN

Der Benutzer ist im System nicht bekannt.

PAM_BUF_ERR

Speicherreservierungsfehler.

BEISPIELE

auth     required  pam_unix.so
session  required  pam_permit.so
session  optional  pam_selinux.so

SIEHE AUCH

execve(2), tty(4), pam.d(5), pam(7), selinux(8)

AUTOR

pam_selinux wurde von Dan Walsh <dwalsh@redhat.com> geschrieben.

ÜBERSETZUNG

Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer: debian-l10n-german@lists.debian.org.

29.06.2025 Linux-PAM