Una varietà di tool di gestione presenti con Red Hat Enterprise Linux permette all'utente di avere elevati privilegi fino a cinque minuti tramite il modulo pam_timestamp.so. È importante capire come questo meccanismo funzioni, in quanto se un utente si allontana dal terminale mentre pam_timestamp.so è in funzione, lascia la macchina vulnerabile a manipolazioni apportate da un altro utente che ha un accesso fisico alla console.
Con lo schema di timestamp di PAM, l'applicazione di gestione grafica richiede all'utente la password di root quando lanciata. Una volta autenticato, il modulo pam_timestamp.so crea, per default, un file di timestamp all'interno della directory /var/run/sudo/. Se il file timestamp è già esistente, gli altri programmi di getsione non richiederanno la password. Invece, il modulo pam_timestamp.so aggiornerà il file timestamp — riservando cinque minuti aggiuntivi di accesso amministrativo per l'utente.
L'esistenza del file di timestamp viene delineata da una icona di autenticazione nell'area di notifica del pannello. Di seguito viene illustrata una icona di autenticazione:
Si consiglia prima di allontanarsi da una console dove è attivo un timestamp di PAM, il file di timestamp deve essere eliminato. Per fare ciò all'interno di un ambiente grafico, fate clic sull'icona di autenticazione sul pannello. Quando appare una finestra di dialogo, fate clic sul pulsante Dimentica l'autorizzazione.
Se avete effettuato il log in in un sistema in maniera remota usando ssh, usare il comando /sbin/pam_timestamp_check -k root per eliminare il file timestamp.
![]() | Nota Bene |
---|---|
Dovete effettuare il log in come l'utente che originariamente ha invocato il modulo pam_timestamp.so, in modo da poter usare il comando /sbin/pam_timestamp_check. Non effettuate il log in come utente root per emettere questo comando. |
Per informazioni su come eliminare il file timestamp usando pam_timestamp_check, consultate la pagina man di pam_timestamp_check.
Il modulo pam_timestamp.so accetta diverse direttive. Di seguito sono riportate le due opzioni più comunemente usate:
timestamp_timeout — Specifica il numero di secondi entro i quali il file timestamp è valido (in secondi). Il valore di default è di 300 secondi (cinque minuti).
timestampdir — Specifica la directory entro la quale il file timestamp è conservato. Il valore di default è /var/run/sudo.
Per maggiori informazioni sul controllo del modulo pam_timestamp.so, consultate la Sezione 15.8.1.