15.7. PAM e proprietà dei dispositivi

Red Hat Enterprise Linux conferisce al primo utente che effettua una registrazione sulla console fisica della macchina, una certa abilitá di manipolare alcuni dispositivi ed effettuare alcuni compiti che normalmente sono riservati all'utente root. Questo é controllato da un modulo PAM chiamato pam_console.so.

15.7.1. Proprietà dei dispositivi

Quando un utente si collega a un sistema Red Hat Enterprise Linux, il modulo pam_console.so viene chiamato da login o dai programmi di login grafici, gdm e kdm. Se questo utente è il primo utente a collegarsi alla console fisica — chiamata utente console — il modulo gli assegna la proprietà di vari dispositivi generalmente appartenenti all'utente root. L'utente della console è proprietario di questi dispositivi fino al termine della sessione locale. Quando l'utente non è più collegato, gli viene tolta la proprietà dei dispositivi.

I dispositivi interessati includono, ma non sono limitati a, schede audio, unità floppy e CD-ROM.

Questo consente all'utente locale di manipolare questi dispositivi senza avere accessoroot, semplificando i task più comuni per l'utente della console.

Modificando il file /etc/security/console.perms, l'amministratore puó modificare l'elenco dei dispositivi controllati da pam_console.so.

AttenzioneAvvertimento
 

Se il file di configurazione display manager gdm, kdm, o xdm è stato alterato in modo da permettere agli utenti remoti di effettuare un log in e se l'host è configurato per essere eseguito sul runlevel 5, è consigliabile cambiare le direttive <console> e <xconsole> all'interno di /etc/security/console.perms nei seguenti valori:

<console>=tty[0-9][0-9]* vc/[0-9][0-9]* :0\.[0-9] :0
<xconsole>=:0\.[0-9] :0

Facendo questo, si impedirà a utenti remoti di guadagnare l'accesso a dispositivi e alle applicazioni soggette a restrizioni presenti sulla macchina.

Se il file di configurazione display manager gdm, kdm, o xdm è stato alterato in modo da permettere agli utenti remoti di effettuare un log in e se l'host è configurato per essere eseguito sul runlevel 5, è consigliabile rimuovere le direttive <console> e <xconsole> all'interno di /etc/security/console.perms nei seguenti valori:

<console>=tty[0-9][0-9]* vc/[0-9][0-9]*

15.7.2. Accesso alle applicazioni

L'utente console può accedere a qualsiasi programma che contiene il nome del comando nella directory /etc/security/console.apps/.

Uno dei gruppi di applicazioni a cui l'utente console può accedere è composto da tre programmi per spegnere o riavviare il sistema. Sono:

Si tratta di applicazioni che supportano i moduli PAM, quindi chiamano pam_console.so per poter funzionare.

Per maggiori informazioni, consultate la Sezione 15.8.1.