15.6. PAM und Administrative-Credential-Caching

Eine Reihe grafischer Verwaltungstools unter Red Hat Enterprise Linux geben Benutzern erweiterte Rechte über das Modul pam_timestamp.so für eine Zeitdauer von 5 Minuten. Es ist wichtig zu verstehen, wie dieser Mechanismus funktioniert, denn wenn ein Benutzer sich vom Terminal entfernt, während pam_timestamp.so ausgeführt wird, ist der Rechner offen für Manipulationen von jedem mit physischem Zugang zur Konsole.

Unter dem PAM Timestamp-Scheme, wird die grafische Verwaltungsapplikation beim Starten den Benutzer nach dem Root-Passwort fragen. Nach der Authentifizierung, erzeugt das pam_timestamp.so-Modul eine Timestamp-Datei im Verzeichnis /var/run/sudo/. Sollte diese Datei bereits existieren, werden andere grafische Verwaltungstools nicht nach dem Passwort fragen. Das pam_timestamp.so-Modul wird anstelle die Timestamp-Datei aktualisieren; wobei dem Benutzer fünf Minuten freier administrativer Zugriff gewährt werden.

Das Bestehen der Timestamp-Datei wird durch ein Authetifizierungssymbol in der Notification-Area des Panels angezeigt. Folgend ist eine Illustration des Authetifizierungssymbols.

Abbildung 15-1. Das Authentication Icon

15.6.1. Entferne die Timestamp-Datei

Es wird empfohlen, dass bevor Sie sich von einer Konsole entfernen, an der PAM läuft, die Timestamp-Datei gelöscht wird. Um dies innerhalb der grafischen Umgebung zu tun, klicken Sie auf das Authetifizierungssymbol im Panel. Wenn das Dialog-Fenster erscheint, klicken Sie den Button Forget Authorization.

Abbildung 15-2. Authentifizierungssymbol Dialog

Wenn von einem Remote-System aus mit ssh angemeldet, benutzen Sie den Befehl /sbin/pam_timestamp_check -k root, um die Timestap-Datei zu löschen.

AnmerkungAnmerkung
 

Nur der Benutzer, der ursprünglich daspam_timestamp.so-Modul aufgerufen hat, kann den Befehl /sbin/pam_timestamp_check verwenden. Melden Sie sich nicht als root an, um diesen Befehl auszuführen.

Zu Informationen zum Löschen der Timestamp-Datei mittelspam_timestamp_check, sehen Sie die man-Seiten vonpam_timestamp_check.

15.6.2. Allgemeine pam_timestamp Anweisungen

Das pam_timestamp.so Modul akzeptiert verschiedene Anweisungen. Folgend sind die zwei am häufigsten verwendeten angegeben:

Für weitere Informationen zur Kontrolle des pam_timestamp.so-Moduls, sehen Sie Abschnitt 15.8.1.