15.6. PAM et cache de certificat administratif

Une panoplie d'outils administratifs graphiques sous Red Hat Enterprise Linux offre aux utilisateurs des privilèges supérieurs allant jusqu'à cinq minutes via le module pam_timestamp.so. Il est important de comprendre comment ce mécanisme fonctionne. En effet, si un utilisateur quitte un terminal pendant que pam_timestamp.so est en action, la machine reste alors ouverte à toute manipulation de la part de toute personne qui a accès physique à la console.

Sous le système d'estampille PAM, l'application administrative graphique demande à l'utilisateur de saisir le mot de passe root au démarrage. Un fois authentifié, le module pam_timestamp.so crée un fichier d'estampille dans le répertoire /var/run/sudo/, par défaut. Si le fichier d'estampille existe déjà, d'autres programmes administratifs graphiques ne demanderont pas la saisie d'un mot de passe. Au contraire, le module pam_timestamp.so rafraîchira le fichier d'estampille — réservant cinq minutes supplémentaires d'accès administratif pour l'utilisateur.

L'existence du fichier d'estampille est dénotée par l'icône d'authentification dans la zone de notifications sur le panneau. Voici une illustration de l'icône d'authentification :

Figure 15-1. L'icône d'authentification

15.6.1. Suppression du fichier d'estampille

Avant de quitter une console ayant une estampille PAM activée, il est conseillé de détruire le fichier d'estampille. Dans un environnement graphique, cliquez sur l'icône d'authentification sur le panneau. Lorsque la boite de dialogue apparaît, cliquez sur le bouton Oublier l'autorisation.

Figure 15-2. Dialogue d'icône d'authentification

Si vous vous êtes connecté à distance sur un système à l'aide de ssh, utilisez la commande /sbin/pam_timestamp_check -k root pour détruire le fichier d'estampille.

NoteRemarque
 

Vous devez être connecté en tant que l'utilisateur qui, à l'origine, a appelé le module pam_timestamp.so afin d'utiliser la commande /sbin/pam_timestamp_check. Ne vous connectez pas en tant que super-utilisateur pour exécuter cette commande.

Pour davantage d'informations sur la destruction de fichier d'estampille à l'aide de pam_timestamp_check, consultez la page de manuel de pam_timestamp_check.

15.6.2. Directives pam_timestamp courantes

Le module pam_timestamp.so accepte plusieurs directives. Voici les deux options les plus couramment utilisées :

Pour de plus amples informations sur le contrôle du module pam_timestamp.so, reportez-vous à la Section 15.8.1.