Red Hat Enterprise Linux 3: Referenzhandbuch | ||
---|---|---|
Zurück | Kapitel 15. Pluggable Authentication Modules (PAM) | Nach vorne |
Eine Reihe grafischer Verwaltungstools unter Red Hat Enterprise Linux geben Benutzern erweiterte Rechte über das Modul pam_timestamp.so für eine Zeitdauer von 5 Minuten. Es ist wichtig zu verstehen, wie dieser Mechanismus funktioniert, denn wenn ein Benutzer sich vom Terminal entfernt, während pam_timestamp.so ausgeführt wird, ist der Rechner offen für Manipulationen von jedem mit physischem Zugang zur Konsole.
Unter dem PAM Timestamp-Scheme, wird die grafische Verwaltungsapplikation beim Starten den Benutzer nach dem Root-Passwort fragen. Nach der Authentifizierung, erzeugt das pam_timestamp.so-Modul eine Timestamp-Datei im Verzeichnis /var/run/sudo/. Sollte diese Datei bereits existieren, werden andere grafische Verwaltungstools nicht nach dem Passwort fragen. Das pam_timestamp.so-Modul wird anstelle die Timestamp-Datei aktualisieren; wobei dem Benutzer fünf Minuten freier administrativer Zugriff gewährt werden.
Das Bestehen der Timestamp-Datei wird durch ein Authetifizierungssymbol in der Notification-Area des Panels angezeigt. Folgend ist eine Illustration des Authetifizierungssymbols.
Es wird empfohlen, dass bevor Sie sich von einer Konsole entfernen, an der PAM läuft, die Timestamp-Datei gelöscht wird. Um dies innerhalb der grafischen Umgebung zu tun, klicken Sie auf das Authetifizierungssymbol im Panel. Wenn das Dialog-Fenster erscheint, klicken Sie den Button Forget Authorization.
Wenn von einem Remote-System aus mit ssh angemeldet, benutzen Sie den Befehl /sbin/pam_timestamp_check -k root, um die Timestap-Datei zu löschen.
![]() | Anmerkung |
---|---|
Nur der Benutzer, der ursprünglich daspam_timestamp.so-Modul aufgerufen hat, kann den Befehl /sbin/pam_timestamp_check verwenden. Melden Sie sich nicht als root an, um diesen Befehl auszuführen. |
Zu Informationen zum Löschen der Timestamp-Datei mittelspam_timestamp_check, sehen Sie die man-Seiten vonpam_timestamp_check.
Das pam_timestamp.so Modul akzeptiert verschiedene Anweisungen. Folgend sind die zwei am häufigsten verwendeten angegeben:
timestamp_timeout — Die Anzahl der Sekunden, während denen die Timestap-Datei gültig ist. Der Standardwert ist 300 Sekunden (fünf Minuten).
timestampdir — Gibt das Verzeichnis an, in dem die Timestamp-Datei gespeichert ist. Der Standardwert ist /var/run/sudo.
Für weitere Informationen zur Kontrolle des pam_timestamp.so-Moduls, sehen Sie Abschnitt 15.8.1.
Zurück | Zum Anfang | Nach vorne |
Module erstellen | Nach oben | PAM und Besitzrechte von Geräten |