PAM Hardening: pwquality, faillock, MFA und Password Rotation

Red Snapper

2 months ago

Die Sicherheit von Linux-Systemen beginnt oft bei der Authentifizierung. PAM (Pluggable Authentication Modules) bietet eine flexible und modulare Möglichkeit, Login-Mechanismen zu steuern, Passwortrichtlinien durchzusetzen und Multi-Faktor-Authentifizierung (MFA) zu implementieren. Durch gezieltes Hardening von PAM lassen sich Brute-Force-Angriffe verhindern, Passwortqualität sicherstellen und Rotation erzwingen.

PAM Grundlagen

PAM ist ein Framework, das verschiedene Authentifizierungsmethoden modular integriert. Über Konfigurationsdateien unter /etc/pam.d/ kann festgelegt werden, welche Module beim Login oder bei Passwortänderungen ausgeführt werden.

Wichtige PAM-Module

pam_pwquality.so: Überprüft die Passwortstärke nach definierbaren Regeln
pam_faillock.so: Sperrt Benutzer nach wiederholten Fehlversuchen
pam_google_authenticator.so oder pam_oath.so: Für MFA via TOTP
pam_unix.so: Standard-Passwortprüfung gegen /etc/shadow

Passwortrichtlinien mit pwquality

pwquality erzwingt Regeln für Passwörter, z. B. Mindestlänge, Zeichenkomplexität und Sperrung alter Passwörter. Anpassungen erfolgen in /etc/security/pwquality.conf oder in der PAM-Konfiguration.

Beispielkonfiguration

# /etc/security/pwquality.conf
minlen = 14
dcredit = -1
ucredit = -1
ocredit = -1
lcredit = -1
dictcheck = 1
maxrepeat = 3

Diese Einstellungen erzwingen mindestens 14 Zeichen, jeweils mindestens ein Großbuchstabe, Kleinbuchstabe, Zahl und Sonderzeichen, verhindern Wiederholungen und prüfen gegen Wörterbücher.

Fehlerhafte Logins sperren mit pam_faillock

Um Brute-Force-Angriffe zu verhindern, kann pam_faillock.so Benutzer nach mehrfachen Fehlversuchen sperren. Die Konfiguration erfolgt meist in /etc/pam.d/system-auth und /etc/pam.d/password-auth.

Beispiel

auth required pam_faillock.so preauth silent audit deny=5 unlock_time=900
auth [success=1 default=bad] pam_unix.so
auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900

Dies sperrt Benutzer nach 5 fehlgeschlagenen Logins für 15 Minuten (unlock_time=900).

Multi-Faktor-Authentifizierung (MFA)

MFA erhöht die Sicherheit, indem neben Passwort noch ein zweiter Faktor abgefragt wird. In Linux-Umgebungen bieten sich TOTP-Tools wie Google Authenticator an, die über PAM eingebunden werden.

Beispielkonfiguration

auth required pam_google_authenticator.so nullok

Benutzer können individuelle TOTP-Keys generieren. nullok erlaubt optionales MFA für Legacy-Konten.

Passwort-Rotation erzwingen

Regelmäßige Passwortänderungen verhindern, dass kompromittierte Passwörter langfristig ausgenutzt werden. PAM in Kombination mit chage und passwd kann Rotation erzwingen.

Beispiel

# Passwort muss alle 90 Tage geändert werden
chage -M 90 username
Benutzer wird 7 Tage vor Ablauf gewarnt
chage -W 7 username

Weitere Hardening-Maßnahmen

Auditieren aller Authentifizierungsversuche mit auditd
Sperren von Root-Logins über PAM (auth required pam_nologin.so)
Zusätzliche Rate-Limits für SSH in /etc/ssh/sshd_config
Verwendung von Kerberos oder LDAP für zentrale Passwortverwaltung
Regelmäßige Überprüfung der PAM-Konfigurationen auf Compliance

Zusammenfassung

Durch PAM-Hardening mit pwquality, faillock, MFA und Passwortrotation lassen sich Linux-Server effektiv gegen Passwortangriffe absichern. Granulare Richtlinien, zentrale Überwachung und regelmäßige Audits bilden eine Basis für sichere Authentifizierung und Compliance-konformes Systemmanagement.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

Professionelle Konfiguration von Routern und Switches
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.