15.7. PAM und Besitzrechte von Geräten

Red Hat Enterprise Linux erlaubt es dem ersten Benutzer mithilfe des PAM-Moduls pam_console.so, sich in der Konsole des Computers anzumelden, sowie das Bearbeiten von Geräten und das Ausführen von Tasks, die normalerweise für Root-Benutzer reserviert sind.

15.7.1. Besitzrechte von Geräten

Wenn sich ein Benutzer unter Red Hat Enterprise Linux in einem Computer anmeldet, wird das pam_console.so Modul durch login oder die grafischen Anmeldeprogramme gdm und kdm aufgerufen. Ist dieser Benutzer der erste Benutzer, der sich in der physischen Konsole anmeldet — Konsolen-Benutzer genannt — bewilligt das Modul dem Benutzer das Besitzrecht einer ganzen Reihe von Geräten, die normalerweise im Besitz von Root sind. Der Konsolen-Benutzer besitzt diese Geräte solange, bis die letzte lokale Sitzung für diesen Benutzer beendet ist. Sobald sich der Benutzer abgemeldet hat, kehrt das Besitzrecht auf seinen Standardwert zurück.

Es sind alle Geräte betroffen, nicht nur Soundkarten, Disketten-Laufwerke und CD-ROM Laufwerke.

Dadurch hat der lokale Benutzer die Möglichkeit, diese Geräte zu bearbeiten, ohne als Root angemeldet zu sein, was allgemeine Tasks für den Konsolen-Benutzer vereinfacht.

Die Liste von Geräten, die von pam_console.so kontrolliert werden können vom Administrator in der Datei /etc/security/console.perms bearbeitet werden.

WarnungWarnung
 

Wenn die Konfigurationsdatei des gdm, kdm, oder xdm Display-Manager geändert wurde, um Remote-Benutzern den Zugriff zu gewähren, und der Host ist zur Ausführung in Runlevel 5 konfiguriert, dann wird empfohlen, die <console> und <xconsole>-Anweisungen in der Datei /etc/security/console.perms auf folgende Werte zu ändern:

<console>=tty[0-9][0-9]* vc/[0-9][0-9]* :0\.[0-9] :0
<xconsole>=:0\.[0-9] :0

Dies wird Remote-Benutzer davon abhalten, Zugriff auf Geräte und Applikationen höherer Sicherheitsstufe zu gelangen.

Wenn die Konfigurationsdatei des gdm, kdm, oder xdm Display-Manager geändert wurde, um Remote-Benutzern den Zugriff zu gewähren, und der Host ist zur Ausführung in Runlevel 5 konfiguriert, dann wird empfohlen, die <console> und <xconsole>-Anweisungen auf folgende Werte zu ändern:

<console>=tty[0-9][0-9]* vc/[0-9][0-9]*

15.7.2. Zugriff zu Applikationen

Der Konsolen-Benutzer hat die Möglichkeit, mithilfe einer Datei, die den Befehlsnamen im Verzeichnis /etc/security/console.apps/ enthält, zu bestimmten Programm Zugriff zu erhalten.

Eine wichtige Gruppe von Applikationen, zu denen der Konsolen-Benutzer Zugriff hat, sind folgende drei Programme zum Abschalten und Neubooten des Systems:

Da diese Programme PAM-kompatible Applikationen sind, benötigen sie das pam_console.so Modul.

Für weitere Informationen, sehen Sie Abschnitt 15.8.1.