From ef48b704d63f542d0b720b9a1d9ab16b56eafe42 Mon Sep 17 00:00:00 2001 From: kueller Date: Mon, 3 Jan 2011 10:48:06 +0000 Subject: [PATCH] Neue Version V963 git-svn-id: svn://svn.compuextreme.de/Viitor/V963/Viitor_pam@5933 504e572c-2e33-0410-9681-be2bf7408885 --- etc/pam.d/chage | 24 +++++++++++++ etc/pam.d/chpaswd | 24 +++++++++++++ etc/pam.d/groupadd | 21 +++++++++++ etc/pam.d/groupdel | 25 +++++++++++++ etc/pam.d/groupmod | 24 +++++++++++++ etc/pam.d/login | 48 +++++++++++++++++++++++++ etc/pam.d/newusers | 24 +++++++++++++ etc/pam.d/other | 43 ++++++++++++++++++++++ etc/pam.d/passwd | 25 +++++++++++++ etc/pam.d/shadow | 22 ++++++++++++ etc/pam.d/su | 43 ++++++++++++++++++++++ etc/pam.d/useradd | 18 ++++++++++ etc/pam.d/userdel | 22 ++++++++++++ etc/pam.d/usermod | 21 +++++++++++ etc/securetty | 37 +++++++++++++++++++ etc/security/pam_env.conf | 76 +++++++++++++++++++++++++++++++++++++++ var/log/lastlog | 0 17 files changed, 497 insertions(+) create mode 100644 etc/pam.d/chage create mode 100644 etc/pam.d/chpaswd create mode 100644 etc/pam.d/groupadd create mode 100644 etc/pam.d/groupdel create mode 100644 etc/pam.d/groupmod create mode 100644 etc/pam.d/login create mode 100644 etc/pam.d/newusers create mode 100644 etc/pam.d/other create mode 100644 etc/pam.d/passwd create mode 100644 etc/pam.d/shadow create mode 100644 etc/pam.d/su create mode 100644 etc/pam.d/useradd create mode 100644 etc/pam.d/userdel create mode 100644 etc/pam.d/usermod create mode 100644 etc/securetty create mode 100644 etc/security/pam_env.conf create mode 100644 var/log/lastlog diff --git a/etc/pam.d/chage b/etc/pam.d/chage new file mode 100644 index 0000000..ad1fd66 --- /dev/null +++ b/etc/pam.d/chage @@ -0,0 +1,24 @@ +#!/bin/bash +#Useradd pam security config +#(c) Rainmaker MultiMedia OHG +# +#$Author$ +#$Date$ +#$Revision$ +# +#$Log$ +#Revision 1.1 2005/09/27 16:05:15 kueller +#neue shadow version brauch konfiguration fuer alle binarys +# +#Revision 1.1 2005/09/27 14:18:17 kueller +#Auch fuer groupadd command wird nun eine eigene pam configuration benoetigt +# +#Revision 1.1 2001/10/14 11:59:51 kueller +#shadow-4.0 kennt nun getrennte Einstellungen für useradd. Datei hinzugefügt +# +# + +auth sufficient pam_rootok.so +auth required pam_unix.so +account required pam_permit.so +password required pam_permit.so diff --git a/etc/pam.d/chpaswd b/etc/pam.d/chpaswd new file mode 100644 index 0000000..ad1fd66 --- /dev/null +++ b/etc/pam.d/chpaswd @@ -0,0 +1,24 @@ +#!/bin/bash +#Useradd pam security config +#(c) Rainmaker MultiMedia OHG +# +#$Author$ +#$Date$ +#$Revision$ +# +#$Log$ +#Revision 1.1 2005/09/27 16:05:15 kueller +#neue shadow version brauch konfiguration fuer alle binarys +# +#Revision 1.1 2005/09/27 14:18:17 kueller +#Auch fuer groupadd command wird nun eine eigene pam configuration benoetigt +# +#Revision 1.1 2001/10/14 11:59:51 kueller +#shadow-4.0 kennt nun getrennte Einstellungen für useradd. Datei hinzugefügt +# +# + +auth sufficient pam_rootok.so +auth required pam_unix.so +account required pam_permit.so +password required pam_permit.so diff --git a/etc/pam.d/groupadd b/etc/pam.d/groupadd new file mode 100644 index 0000000..e1d9c5e --- /dev/null +++ b/etc/pam.d/groupadd @@ -0,0 +1,21 @@ +#!/bin/bash +#Useradd pam security config +#(c) Rainmaker MultiMedia OHG +# +#$Author$ +#$Date$ +#$Revision$ +# +#$Log$ +#Revision 1.1 2005/09/27 14:18:17 kueller +#Auch fuer groupadd command wird nun eine eigene pam configuration benoetigt +# +#Revision 1.1 2001/10/14 11:59:51 kueller +#shadow-4.0 kennt nun getrennte Einstellungen für useradd. Datei hinzugefügt +# +# + +auth sufficient pam_rootok.so +auth required pam_unix.so +account required pam_permit.so +password required pam_permit.so diff --git a/etc/pam.d/groupdel b/etc/pam.d/groupdel new file mode 100644 index 0000000..9df6c89 --- /dev/null +++ b/etc/pam.d/groupdel @@ -0,0 +1,25 @@ +#!/bin/bash +#Useradd pam security config +#(c) Rainmaker MultiMedia OHG +# +#$Author$ +#$Date$ +#$Revision$ +# +#$Log$ +#Revision 1.1 2005/09/27 14:34:07 kueller +#neue shadow version braucht fuer die tools groupadd, useradd, groupdel +#und userdel eigene pam configs. +# +#Revision 1.1 2005/09/27 14:18:17 kueller +#Auch fuer groupadd command wird nun eine eigene pam configuration benoetigt +# +#Revision 1.1 2001/10/14 11:59:51 kueller +#shadow-4.0 kennt nun getrennte Einstellungen für useradd. Datei hinzugefügt +# +# + +auth sufficient pam_rootok.so +auth required pam_unix.so +account required pam_permit.so +password required pam_permit.so diff --git a/etc/pam.d/groupmod b/etc/pam.d/groupmod new file mode 100644 index 0000000..ad1fd66 --- /dev/null +++ b/etc/pam.d/groupmod @@ -0,0 +1,24 @@ +#!/bin/bash +#Useradd pam security config +#(c) Rainmaker MultiMedia OHG +# +#$Author$ +#$Date$ +#$Revision$ +# +#$Log$ +#Revision 1.1 2005/09/27 16:05:15 kueller +#neue shadow version brauch konfiguration fuer alle binarys +# +#Revision 1.1 2005/09/27 14:18:17 kueller +#Auch fuer groupadd command wird nun eine eigene pam configuration benoetigt +# +#Revision 1.1 2001/10/14 11:59:51 kueller +#shadow-4.0 kennt nun getrennte Einstellungen für useradd. Datei hinzugefügt +# +# + +auth sufficient pam_rootok.so +auth required pam_unix.so +account required pam_permit.so +password required pam_permit.so diff --git a/etc/pam.d/login b/etc/pam.d/login new file mode 100644 index 0000000..f1bea88 --- /dev/null +++ b/etc/pam.d/login @@ -0,0 +1,48 @@ +#!/bin/bash +#Default Konfigurations Files für libpam +#Verhalten wie std. Unix +#(c) Rainmaker MultiMedia OHG +# +#$Author$ +#$Date$ +#$Revision$ +# +#$Log$ +#Revision 1.1 2001/09/22 23:43:03 kueller +#Initial revision +# +#Revision 1.4 2001/09/06 10:21:11 kueller +# +#Funktion securetty hinzugefügt. Darüber kann der Rootlogin eingeschränkt +#werden. Nur logins von ttys, welche in /etc/securetty gelistet sind, sind +#möglich. Root Logins von allen andern TTYS schlagen grundsätzlich fehl +# +#Revision 1.3 2001/09/01 22:40:46 kueller +# +#Lastlogin Funktionalität zu PAM hinzugefügt. Der Zeitpunmkt des letzten Logins +#wird nun angezeigt, und die Logins ausserdem in /var/log/lastlog protokolliert +# +#Revision 1.2 2001/09/01 21:28:12 cvs +# +#pam Module pam_env bei Login hinzugefügt. Diese Modul sorgt beim Login +#dafür, das $DISPLAY und $REMOTEHOST richtig gesetzt sind +# +#Revision 1.1 2001/09/01 21:07:47 cvs +# +#Neue Konfiguration der cvs die services wie login, passwd kommando, +#su kommando usw unterschiedlich behandelt +# +# +# + +auth requisite pam_unix_auth.so +auth required pam_nologin.so +auth required pam_securetty.so +auth required pam_mail.so +account required pam_unix_acct.so +password required pam_unix_passwd.so +session required pam_unix_session.so +session required pam_motd.so +session required pam_env.so +session optional pam_lastlog.so never +session optional pam_ck_connector.so debug diff --git a/etc/pam.d/newusers b/etc/pam.d/newusers new file mode 100644 index 0000000..ad1fd66 --- /dev/null +++ b/etc/pam.d/newusers @@ -0,0 +1,24 @@ +#!/bin/bash +#Useradd pam security config +#(c) Rainmaker MultiMedia OHG +# +#$Author$ +#$Date$ +#$Revision$ +# +#$Log$ +#Revision 1.1 2005/09/27 16:05:15 kueller +#neue shadow version brauch konfiguration fuer alle binarys +# +#Revision 1.1 2005/09/27 14:18:17 kueller +#Auch fuer groupadd command wird nun eine eigene pam configuration benoetigt +# +#Revision 1.1 2001/10/14 11:59:51 kueller +#shadow-4.0 kennt nun getrennte Einstellungen für useradd. Datei hinzugefügt +# +# + +auth sufficient pam_rootok.so +auth required pam_unix.so +account required pam_permit.so +password required pam_permit.so diff --git a/etc/pam.d/other b/etc/pam.d/other new file mode 100644 index 0000000..5d4c0b0 --- /dev/null +++ b/etc/pam.d/other @@ -0,0 +1,43 @@ +#!/bin/bash +#Default Konfigurations Files für libpam +#Verhalten wie std. Unix +#(c) Rainmaker MultiMedia OHG +# +#$Author$ +#$Date$ +#$Revision$ +# +#$Log$ +#Revision 1.3 2001/09/26 20:58:17 kueller +#Freischaltung von useradd,groupadd usw. nun über pam.d/shadow. Damit ist +#die oeffnung der other Datei nicht mehr notwendig. Other nun wieder Sicher. +#Nebenbei wird pam_warn.so für alle bereiche eingebunden +# +#Revision 1.2 2001/09/23 22:36:07 kueller +#Korrekturen, die dem root Account die Verwendung von useradd und groupadd +#ohne weitere Password Angabe ermöglichen +# +#Revision 1.1.1.1 2001/09/22 23:43:03 kueller +#Neustart wg. Datenverlust +# +#Revision 1.2 2001/09/01 23:29:19 kueller +# +#Zugriff über pam_env hinzugefügt. pam_env sorgt für das Setzen von $DISPLAY +#und $REMOTE +# +#Revision 1.1 2001/09/01 21:07:47 cvs +# +#Neue Konfiguration der cvs die services wie login, passwd kommando, +#su kommando usw unterschiedlich behandelt +# +# +# + +auth required pam_warn.so +auth required pam_unix_auth.so +account required pam_warn.so +account required pam_unix_acct.so +password required pam_warn.so +password required pam_unix_passwd.so +session required pam_warn.so +session required pam_unix_session.so diff --git a/etc/pam.d/passwd b/etc/pam.d/passwd new file mode 100644 index 0000000..9994cfd --- /dev/null +++ b/etc/pam.d/passwd @@ -0,0 +1,25 @@ +#!/bin/bash +#Default Konfigurations Files für libpam +#Verhalten wie std. Unix +#(c) Rainmaker MultiMedia OHG +# +#$Author$ +#$Date$ +#$Revision$ +# +#$Log$ +#Revision 1.1 2001/09/22 23:43:03 kueller +#Initial revision +# +#Revision 1.1 2001/09/01 21:07:47 cvs +# +#Neue Konfiguration der cvs die services wie login, passwd kommando, +#su kommando usw unterschiedlich behandelt +# +# +# + +auth required pam_unix_auth.so +account required pam_unix_acct.so +password required pam_unix_passwd.so +session required pam_unix_session.so diff --git a/etc/pam.d/shadow b/etc/pam.d/shadow new file mode 100644 index 0000000..12e026a --- /dev/null +++ b/etc/pam.d/shadow @@ -0,0 +1,22 @@ +#!/bin/bash +#Default Konfigurations Files für libpam +#useradd/groupadd usw. Konfiguration. Root kann immer ohne +#weitere Password Abfragen +#(c) Rainmaker MultiMedia OHG +# +#$Author$ +#$Date$ +#$Revision$ +# +#$Log$ +#Revision 1.1 2001/09/26 20:58:48 kueller +#Konfiguration speziell für shadow-Datei modifizierende Kommandos. +# +# + +auth sufficient pam_rootok.so +auth required pam_unix_auth.so +account required pam_unix_acct.so +password sufficient pam_permit.so +password required pam_unix_passwd.so +session required pam_unix_session.so diff --git a/etc/pam.d/su b/etc/pam.d/su new file mode 100644 index 0000000..e92baa9 --- /dev/null +++ b/etc/pam.d/su @@ -0,0 +1,43 @@ +#!/bin/bash +#Default Konfigurations Files für libpam +#Verhalten wie std. Unix +#(c) Rainmaker MultiMedia OHG +# +#$Author$ +#$Date$ +#$Revision$ +# +#$Log$ +#Revision 1.1 2001/09/22 23:43:03 kueller +#Initial revision +# +#Revision 1.4 2001/09/01 23:29:19 kueller +# +#Zugriff über pam_env hinzugefügt. pam_env sorgt für das Setzen von $DISPLAY +#und $REMOTE +# +#Revision 1.3 2001/09/01 22:45:06 kueller +# +#Root kann jetzt ohne password auf beliebigen Account mit su wechseln. +#Dazu wurde ein eintrag mit pam_rootok in /etc/pam.d/su eingebaut +# +#Revision 1.2 2001/09/01 22:40:46 kueller +# +#Lastlogin Funktionalität zu PAM hinzugefügt. Der Zeitpunmkt des letzten Logins +#wird nun angezeigt, und die Logins ausserdem in /var/log/lastlog protokolliert +# +#Revision 1.1 2001/09/01 21:07:47 cvs +# +#Neue Konfiguration der cvs die services wie login, passwd kommando, +#su kommando usw unterschiedlich behandelt +# +# +# + +auth sufficient pam_rootok.so +auth required pam_unix_auth.so +account required pam_unix_acct.so +password required pam_unix_passwd.so +session required pam_unix_session.so +session required pam_env.so +session optional pam_lastlog.so never diff --git a/etc/pam.d/useradd b/etc/pam.d/useradd new file mode 100644 index 0000000..bf01070 --- /dev/null +++ b/etc/pam.d/useradd @@ -0,0 +1,18 @@ +#!/bin/bash +#Useradd pam security config +#(c) Rainmaker MultiMedia OHG +# +#$Author$ +#$Date$ +#$Revision$ +# +#$Log$ +#Revision 1.1 2001/10/14 11:59:51 kueller +#shadow-4.0 kennt nun getrennte Einstellungen für useradd. Datei hinzugefügt +# +# + +auth sufficient pam_rootok.so +auth required pam_unix.so +account required pam_permit.so +password required pam_permit.so diff --git a/etc/pam.d/userdel b/etc/pam.d/userdel new file mode 100644 index 0000000..cd8b4ff --- /dev/null +++ b/etc/pam.d/userdel @@ -0,0 +1,22 @@ +#!/bin/bash +#Useradd pam security config +#(c) Rainmaker MultiMedia OHG +# +#$Author$ +#$Date$ +#$Revision$ +# +#$Log$ +#Revision 1.1 2005/09/27 14:34:07 kueller +#neue shadow version braucht fuer die tools groupadd, useradd, groupdel +#und userdel eigene pam configs. +# +#Revision 1.1 2001/10/14 11:59:51 kueller +#shadow-4.0 kennt nun getrennte Einstellungen für useradd. Datei hinzugefügt +# +# + +auth sufficient pam_rootok.so +auth required pam_unix.so +account required pam_permit.so +password required pam_permit.so diff --git a/etc/pam.d/usermod b/etc/pam.d/usermod new file mode 100644 index 0000000..2ff0d1c --- /dev/null +++ b/etc/pam.d/usermod @@ -0,0 +1,21 @@ +#!/bin/bash +#Useradd pam security config +#(c) Rainmaker MultiMedia OHG +# +#$Author$ +#$Date$ +#$Revision$ +# +#$Log$ +#Revision 1.1 2005/09/27 16:05:15 kueller +#neue shadow version brauch konfiguration fuer alle binarys +# +#Revision 1.1 2001/10/14 11:59:51 kueller +#shadow-4.0 kennt nun getrennte Einstellungen für useradd. Datei hinzugefügt +# +# + +auth sufficient pam_rootok.so +auth required pam_unix.so +account required pam_permit.so +password required pam_permit.so diff --git a/etc/securetty b/etc/securetty new file mode 100644 index 0000000..1ae3512 --- /dev/null +++ b/etc/securetty @@ -0,0 +1,37 @@ +#Secure TTY Einstellungen - Root Login nur von TTYS die hier gelistet +#sind +#(c) Rainmaker MultiMedia OHG +# +#$Author$ +#$Date$ +#$Revision$ +# +#$Log$ +#Revision 1.4 2006/07/07 20:37:25 kueller +#Anpassung an die neuen (alten) devicenamen des udev +# +#Revision 1.3 2002/07/19 07:12:22 hkueller +#patch mit /dev in den pfaden nicht mehr notwendig - mit neuer version +#der shadow package verhält sich Linux-PAM wieder wie gewohnt +# +#Revision 1.2 2002/07/12 08:11:27 hkueller +#Anpassungen an neues System (util-linux) - agetty meldet logindevice jetzt +#mit /dev im pfad +# +#Revision 1.1.1.1 2001/09/22 23:43:03 kueller +#Neustart wg. Datenverlust +# +#Revision 1.1 2001/09/06 10:21:11 kueller +# +#Funktion securetty hinzugefügt. Darüber kann der Rootlogin eingeschränkt +#werden. Nur logins von ttys, welche in /etc/securetty gelistet sind, sind +#möglich. Root Logins von allen andern TTYS schlagen grundsätzlich fehl +# +# + +tty1 +tty2 +tty3 +tty4 +tty5 +tty6 diff --git a/etc/security/pam_env.conf b/etc/security/pam_env.conf new file mode 100644 index 0000000..3e1ef73 --- /dev/null +++ b/etc/security/pam_env.conf @@ -0,0 +1,76 @@ +#!/bin/bash +# Konfiguration für libPAM pam_env Module +# sorgt dafür, das DISPLAY und REMOTEHOST richtig gesetzt werden +# $Author$ +# $Date$ +# $Revision$ +# $Id$ +# +# This is the configuration file for pam_env, a PAM module to load in +# a configurable list of environment variables for a +# +# The original idea for this came from Andrew G. Morgan ... +# +# Mmm. Perhaps you might like to write a pam_env module that reads a +# default environment from a file? I can see that as REALLY +# useful... Note it would be an "auth" module that returns PAM_IGNORE +# for the auth part and sets the environment returning PAM_SUCCESS in +# the setcred function... +# +# +# What I wanted was the REMOTEHOST variable set, purely for selfish +# reasons, and AGM didn't want it added to the SimpleApps login +# program (which is where I added the patch). So, my first concern is +# that variable, from there there are numerous others that might/would +# be useful to be set: NNTPSERVER, LESS, PATH, PAGER, MANPAGER ..... +# +# Of course, these are a different kind of variable than REMOTEHOST in +# that they are things that are likely to be configured by +# administrators rather than set by logging in, how to treat them both +# in the same config file? +# +# Here is my idea: +# +# Each line starts with the variable name, there are then two possible +# options for each variable DEFAULT and OVERRIDE. +# DEFAULT allows and administrator to set the value of the +# variable to some default value, if none is supplied then the empty +# string is assumed. The OVERRIDE option tells pam_env that it should +# enter in its value (overriding the default value) if there is one +# to use. OVERRIDE is not used, "" is assumed and no override will be +# done. +# +# VARIABLE [DEFAULT=[value]] [OVERRIDE=[value]] +# +# (Possibly non-existent) environment variables may be used in values +# using the ${string} syntax and (possibly non-existent) PAM_ITEMs may +# be used in values using the @{string} syntax. Both the $ and @ +# characters can be backslash escaped to be used as literal values +# values can be delimited with "", escaped " not supported. +# +# +# First, some special variables +# +# Set the REMOTEHOST variable for any hosts that are remote, default +# to "localhost" rather than not being set at all +REMOTEHOST DEFAULT=localhost OVERRIDE=@{PAM_RHOST} +# +# Set the DISPLAY variable if it seems reasonable +DISPLAY DEFAULT=${REMOTEHOST}:0.0 OVERRIDE=${DISPLAY} +# +# +# Now some simple variables +# +#PAGER DEFAULT=less +#MANPAGER DEFAULT=less +#LESS DEFAULT="M q e h15 z23 b80" +#NNTPSERVER DEFAULT=localhost +#PATH DEFAULT=${HOME}/bin:/usr/local/bin:/bin\ +#:/usr/bin:/usr/local/bin/X11:/usr/bin/X11 +# +# silly examples of escaped variables, just to show how they work. +# +#DOLLAR DEFAULT=\$ +#DOLLARDOLLAR DEFAULT= OVERRIDE=\$${DOLLAR} +#DOLLARPLUS DEFAULT=\${REMOTEHOST}${REMOTEHOST} +#ATSIGN DEFAULT="" OVERRIDE=\@ diff --git a/var/log/lastlog b/var/log/lastlog new file mode 100644 index 0000000..e69de29