15.7. Propriétaire de PAM et des périphériques

Red Hat Enterprise Linux donne au premier utilisateur à s'être connecté à la console de la machine la possibilité de manipuler les périphériques et d'exécuter des tâches qui sont normalement réservées au super-utilisateur. Ceci est contrôlé par un module PAM appelé pam_console.so.

15.7.1. Propriété des périphériques

Lorsqu'un utilisateur se connecte sur un système Red Hat Enterprise Linux, le module pam_console.so est appelé par login ou par les programmes de connexion graphique gdm et kdm. Si l'utilisateur est le premier à se connecter à la console physique — que l'on appelle alors utilisateur console — le module lui attribue la propriété de périphériques qui appartiennent normalement au super-utilisateur. L'utilisateur console demeure propriétaire de ces périphériques jusqu'à la fin de la dernière session locale de cet utilisateur. Une fois que l'utilisateur s'est déconnecté, la propriété de ces périphériques retourne au super-utilisateur.

Les périphériques affectés incluent notamment les cartes son ainsi que les lecteurs de disquettes et de CD-ROM.

Ainsi, un utilisateur local peut gérer ces périphériques sans être connecté en tant que super-utilisateur, ce qui simplifie les tâches communes de l'utilisateur console.

En modifiant le fichier /etc/security/console.perms, l'administrateur peut changer la liste des périphériques contrôlés par pam_console.so.

AvertissementAvertissement
 

Si le fichier de configuration du gestionnaire d'affichage de gdm, kdm ou xdm a été modifié pour permettre aux utilisateurs distants de se connecter et si l'hôte est configuré pour être exécuté en niveau d'exécution 5, il est conseillé de remplacer les directives <console> et <xconsole> à l'intérieur de /etc/security/console.perms par les valeurs suivantes :

<console>=tty[0-9][0-9]* vc/[0-9][0-9]* :0\.[0-9] :0
<xconsole>=:0\.[0-9] :0

Cela empêchera les utilisateurs distants d'accéder aux périphériques et aux applications limitées sur cette machine.

Si le fichier de configuration du gestionnaire d'affichage de gdm, kdm ou xdm a été modifié pour permettre aux utilisateurs distants de se connecter et si l'hôte est configuré pour être exécuté sur tout niveau d'exécution autre que 5, il est conseillé de supprimer entièrement la directive <xconsole> et de remplacer la directive <console> par la valeur suivante :

<console>=tty[0-9][0-9]* vc/[0-9][0-9]*

15.7.2. Accès aux applications

L'utilisateur console peut également accéder à n'importe quel programme à l'aide d'un fichier portant le nom de la commande dans le répertoire /etc/security/console.apps/.

Un groupe d'applications auquel l'utilisateur console a accès contient trois programmes qui arrêtent ou redémarrent le système, à savoir :

Puisqu'il s'agit d'applications prenant en charge les PAM, le fichier pam_console.so est indispensable pour qu'elles puissent fonctionner.

Pour de plus amples informations, reportez-vous à la Section 15.8.1.