15.6. Immagazzinamento delle credenziali di gestione e di PAM

Una varietà di tool di gestione presenti con Red Hat Enterprise Linux permette all'utente di avere elevati privilegi fino a cinque minuti tramite il modulo pam_timestamp.so. È importante capire come questo meccanismo funzioni, in quanto se un utente si allontana dal terminale mentre pam_timestamp.so è in funzione, lascia la macchina vulnerabile a manipolazioni apportate da un altro utente che ha un accesso fisico alla console.

Con lo schema di timestamp di PAM, l'applicazione di gestione grafica richiede all'utente la password di root quando lanciata. Una volta autenticato, il modulo pam_timestamp.so crea, per default, un file di timestamp all'interno della directory /var/run/sudo/. Se il file timestamp è già esistente, gli altri programmi di getsione non richiederanno la password. Invece, il modulo pam_timestamp.so aggiornerà il file timestamp — riservando cinque minuti aggiuntivi di accesso amministrativo per l'utente.

L'esistenza del file di timestamp viene delineata da una icona di autenticazione nell'area di notifica del pannello. Di seguito viene illustrata una icona di autenticazione:

Figura 15-1. L'icona di autenticazione

15.6.1. Rimozione del file di timestamp

Si consiglia prima di allontanarsi da una console dove è attivo un timestamp di PAM, il file di timestamp deve essere eliminato. Per fare ciò all'interno di un ambiente grafico, fate clic sull'icona di autenticazione sul pannello. Quando appare una finestra di dialogo, fate clic sul pulsante Dimentica l'autorizzazione.

Figura 15-2. Dialogo dell'icona di autenticazione

Se avete effettuato il log in in un sistema in maniera remota usando ssh, usare il comando /sbin/pam_timestamp_check -k root per eliminare il file timestamp.

NotaNota Bene
 

Dovete effettuare il log in come l'utente che originariamente ha invocato il modulo pam_timestamp.so, in modo da poter usare il comando /sbin/pam_timestamp_check. Non effettuate il log in come utente root per emettere questo comando.

Per informazioni su come eliminare il file timestamp usando pam_timestamp_check, consultate la pagina man di pam_timestamp_check.

15.6.2. Direttive pam_timestamp comuni

Il modulo pam_timestamp.so accetta diverse direttive. Di seguito sono riportate le due opzioni più comunemente usate:

Per maggiori informazioni sul controllo del modulo pam_timestamp.so, consultate la Sezione 15.8.1.