16.6. PAM und Administrative-Credential-Caching
Eine Reihe grafischer Verwaltungstools unter Red Hat Enterprise Linux geben Benutzern erweiterte Rechte �ber das Modul pam_timestamp.so f�r eine Zeitdauer von 5 Minuten. Es ist wichtig zu verstehen, wie dieser Mechanismus funktioniert, denn wenn ein Benutzer sich vom Terminal entfernt, w�hrend pam_timestamp.so ausgef�hrt wird, ist der Rechner offen f�r Manipulationen von jedem mit physischem Zugang zur Konsole.
Unter dem PAM Timestamp-Schema fragt die grafische Verwaltungsapplikation beim Starten den Benutzer nach dem Root-Passwort. Nach der Authentifizierung, erzeugt das pam_timestamp.so-Modul standardm��ig eine Timestamp-Datei im Verzeichnis /var/run/sudo/. Sollte diese Datei bereits existieren, werden andere grafische Verwaltungstools nicht nach dem Passwort fragen. Stattdessen aktualisiert das pam_timestamp.so-Modul die Timestamp-Datei — wodurch dem Benutzer weitere f�nf Minuten an unbehelligtem, administrativem Zugriff gew�hrt werden.
Das Bestehen der Timestamp-Datei wird durch ein Authetifizierungssymbol in der Notification-Area des Panels angezeigt. Folgend ist eine Illustration des Authetifizierungssymbols.
16.6.1. Entferne die Timestamp-Datei
Es wird empfohlen, dass bevor Sie sich von einer Konsole entfernen, an der PAM l�uft, die Timestamp-Datei gel�scht wird. Um dies innerhalb der grafischen Umgebung zu tun, klicken Sie auf das Authetifizierungssymbol im Panel. Wenn das Dialog-Fenster erscheint, klicken Sie den Button Autorisierung vergessen.
Wenn von einem Remote-System aus mit ssh angemeldet, benutzen Sie den Befehl /sbin/pam_timestamp_check -k root, um die Timestap-Datei zu l�schen.
| Anmerkung |
---|
| Nur der Benutzer, der urspr�nglich daspam_timestamp.so-Modul aufgerufen hat, kann den Befehl /sbin/pam_timestamp_check verwenden. Melden Sie sich nicht als root an, um diesen Befehl auszuf�hren. |
Zu Informationen zum L�schen der Timestamp-Datei mittelspam_timestamp_check, sehen Sie die man-Seiten vonpam_timestamp_check.
16.6.2. Allgemeine pam_timestamp Anweisungen
Das pam_timestamp.so Modul akzeptiert verschiedene Anweisungen. Folgend sind die zwei am h�ufigsten verwendeten angegeben:
timestamp_timeout — Die Anzahl der Sekunden, w�hrend denen die Timestap-Datei g�ltig ist. Der Standardwert ist 300 Sekunden (f�nf Minuten).
timestampdir — Gibt das Verzeichnis an, in dem die Timestamp-Datei gespeichert ist. Der Standardwert ist /var/run/sudo.
F�r weitere Informationen zur Kontrolle des pam_timestamp.so-Moduls, sehen Sie Abschnitt 16.8.1.