PAM Duress für den Notfall

Di, 7. September 2021, Ralf Hersel

PAM Duress ist ein Modul, das es Benutzern ermöglicht, "Zwangspasswörter" zu erzeugen, die, wenn sie anstelle des normalen Passworts verwendet werden, beliebige Skripte ausführen. PAM steht für Pluggable Authentication Module und Duress bedeutet Nötigung.


Diese Funktion kann genutzt werden, um jemandem, der unter Zwang ein Kennwort eingeben muss, zu ermöglichen, ein Passwort anzugeben, das Zugang gewährt, aber im Hintergrund Skripte ausführt, um sensible Daten zu bereinigen, Verbindungen zu anderen Netzwerken zu schliessen, und/oder um eine Benachrichtigung oder einen Alarm zu senden (möglicherweise mit detaillierten Informationen wie Standort, sichtbaren WLAN-Hotspots, einem Bild von der Kamera, einem Link zu einem Stream vom Mikrofon usw.). Man könnte sogar einen Prozess starten, um das Modul pam_duress zu entfernen, damit der Bedroher nicht sehen kann, ob das "Nötigungsmodul" verfügbar war.

Dies ist für die Person, die das Passwort von dem Benutzer erzwingt, transparent, da das Zwangspasswort die Authentifizierung und den Zugriff auf die Shell des Benutzers ermöglicht. Nötigungsskripte können auf individueller Benutzerbasis oder global erstellt werden. Benutzer können auch globale Zwangspasswörter wiederverwenden, um ihre eigenen Zwangsskripte zu signieren.

In einem Video erklärt der Entwickler Nuvious die Funktionsweise von PAM Duress im Detail:

Quelle: https://github.com/nuvious/pam-duress