March 7, 2026

PAM Hardening: pwquality, faillock, MFA und Password Rotation

Die Sicherheit von Linux-Systemen beginnt oft bei der Authentifizierung. PAM (Pluggable Authentication Modules) bietet eine flexible und modulare Möglichkeit, Login-Mechanismen zu steuern, Passwortrichtlinien durchzusetzen und Multi-Faktor-Authentifizierung (MFA) zu implementieren. Durch gezieltes Hardening von PAM lassen sich Brute-Force-Angriffe verhindern, Passwortqualität sicherstellen und Rotation erzwingen.

PAM Grundlagen

PAM ist ein Framework, das verschiedene Authentifizierungsmethoden modular integriert. Über Konfigurationsdateien unter /etc/pam.d/ kann festgelegt werden, welche Module beim Login oder bei Passwortänderungen ausgeführt werden.

Wichtige PAM-Module

  • pam_pwquality.so: Überprüft die Passwortstärke nach definierbaren Regeln
  • pam_faillock.so: Sperrt Benutzer nach wiederholten Fehlversuchen
  • pam_google_authenticator.so oder pam_oath.so: Für MFA via TOTP
  • pam_unix.so: Standard-Passwortprüfung gegen /etc/shadow

Passwortrichtlinien mit pwquality

pwquality erzwingt Regeln für Passwörter, z. B. Mindestlänge, Zeichenkomplexität und Sperrung alter Passwörter. Anpassungen erfolgen in /etc/security/pwquality.conf oder in der PAM-Konfiguration.

Beispielkonfiguration

# /etc/security/pwquality.conf
minlen = 14
dcredit = -1
ucredit = -1
ocredit = -1
lcredit = -1
dictcheck = 1
maxrepeat = 3

Diese Einstellungen erzwingen mindestens 14 Zeichen, jeweils mindestens ein Großbuchstabe, Kleinbuchstabe, Zahl und Sonderzeichen, verhindern Wiederholungen und prüfen gegen Wörterbücher.

Fehlerhafte Logins sperren mit pam_faillock

Um Brute-Force-Angriffe zu verhindern, kann pam_faillock.so Benutzer nach mehrfachen Fehlversuchen sperren. Die Konfiguration erfolgt meist in /etc/pam.d/system-auth und /etc/pam.d/password-auth.

Beispiel

auth required pam_faillock.so preauth silent audit deny=5 unlock_time=900
auth [success=1 default=bad] pam_unix.so
auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900

Dies sperrt Benutzer nach 5 fehlgeschlagenen Logins für 15 Minuten (unlock_time=900).

Multi-Faktor-Authentifizierung (MFA)

MFA erhöht die Sicherheit, indem neben Passwort noch ein zweiter Faktor abgefragt wird. In Linux-Umgebungen bieten sich TOTP-Tools wie Google Authenticator an, die über PAM eingebunden werden.

Beispielkonfiguration

auth required pam_google_authenticator.so nullok

Benutzer können individuelle TOTP-Keys generieren. nullok erlaubt optionales MFA für Legacy-Konten.

Passwort-Rotation erzwingen

Regelmäßige Passwortänderungen verhindern, dass kompromittierte Passwörter langfristig ausgenutzt werden. PAM in Kombination mit chage und passwd kann Rotation erzwingen.

Beispiel

# Passwort muss alle 90 Tage geändert werden
chage -M 90 username

Benutzer wird 7 Tage vor Ablauf gewarnt


chage -W 7 username

Weitere Hardening-Maßnahmen

  • Auditieren aller Authentifizierungsversuche mit auditd
  • Sperren von Root-Logins über PAM (auth required pam_nologin.so)
  • Zusätzliche Rate-Limits für SSH in /etc/ssh/sshd_config
  • Verwendung von Kerberos oder LDAP für zentrale Passwortverwaltung
  • Regelmäßige Überprüfung der PAM-Konfigurationen auf Compliance

Zusammenfassung

Durch PAM-Hardening mit pwquality, faillock, MFA und Passwortrotation lassen sich Linux-Server effektiv gegen Passwortangriffe absichern. Granulare Richtlinien, zentrale Überwachung und regelmäßige Audits bilden eine Basis für sichere Authentifizierung und Compliance-konformes Systemmanagement.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Cost-Aware Operations: Image Pull Policies, Cache und Bandbreite

Registry Mirror Setup: Pulls beschleunigen und Ausfälle überleben

Air-Gapped Deployments: Images, Dependencies und Updates offline managen

Compose Migration zu Swarm: Wann der Schritt Sinn macht

Compose Migration zu Kubernetes: Mapping von Services, Volumes, Secrets

Kubernetes vs. Compose: Betriebsaufwand, Resilienz und Komplexität

Multi-Host Networking ohne Kubernetes: Optionen und Grenzen

Security Posture Reviews: Threat Modeling für Compose Stacks

Incident Response für Container: Forensik, Artefakte, Evidence

Observability: OpenTelemetry Collector in Compose integrieren

Debugging ohne Shell: Distroless Container in Produktion analysieren

Metrics Pipeline: Prometheus + exporters für Container und Host