Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux 4: Manual de referencia - PAM y el cach� de credenciales administrativas

16.6. PAM y el cach� de credenciales administrativas

Varias herramientas gr�ficas administrativas bajo Red Hat Enterprise Linux otorgan a los usuarios privilegios especiales por hasta 5 minutos a trav�s del m�dulo pam_timestamp.so. Es importante entender c�mo funciona este mecanismo puesto que un usuario que deja su terminal mientras pam_timestamp.so est� en efecto, deja la m�quina abierta a la manipulaci�n por cualquiera con acceso f�sico a la consola.

Bajo el esquema de estampillas de PAM, cuando se ejecuta la aplicaci�n administrativa gr�fica esta le pide al usuario por la contrase�a de root. Una vez autenticado, el m�dulo pam_timestamp.so crea un archivo de estampilla de tiempo (timestamp) dentro del directorio /var/run/sudo/ por defecto. Si el archivo timestamp ya existe, otros programas gr�ficos administrativos no le pedir�n contrase�a. En vez de esto, el m�dulo pam_timestamp.so refrescar� el archivo timestamp — reservando unos cinco minutos extra de acceso administrativo para el usuario.

La existencia de un archivo timestamp se denota por un icono de autenticaci�n en el �rea de notificaci�n del panel. Abajo se muestra una ilustraci�n del icono de autenticaci�n:

Figura 16-1. El icono de autenticaci�n

16.6.1. Eliminar el archivo timestamp

Es recomendable que antes de dejar desatendida una consola donde est� activo un timestamp PAM, se destruya el archivo timestamp. Para hacerlo desde un ambiente gr�fico, pulse en el icono de autenticaci�n en el panel. Cuando aparezca una ventana de di�logo, pulse en el bot�n Olvidar autorizaci�n

Figura 16-2. Di�logo del icono de autenticaci�n

Si est� conect�ndose a un sistema rem�tamente usando ssh, utilice el comando /sbin/pam_timestamp_check -k root para destruir el archivo timestamp.

NotaNota
 

Debe estar conectado como el usuario que invoc� originalmente el m�dulo pam_timestamp.so para poder utilizar el comando /sbin/pam_timestamp_check. No se conecte como usuario root para ejecutar este comando.

Para informaci�n sobre c�mo destruir el archivo timestamp usando pam_timestamp_check, refi�rase a la p�gina man de pam_timestamp_check.

16.6.2. Directivas pam_timestamp comunes

El m�dulo pam_timestamp.so acepta muchas directivas. Abajo est�n las opciones usadas m�s com�nmente:

  • timestamp_timeout — Especifica el n�mero de segundos durante el que el archivo timestamp es v�lido (en segundos). El valor por defecto es 300 segundos (cinco minutos).

  • timestampdir — Especifica el directorio en el cual se almacena el archivo de estampilla de tiempo. El valor por defecto es /var/run/sudo.

Para m�s informaci�n sobre el control del m�dulo pam_timestamp.so, refi�rase a la Secci�n 16.8.1.

 
 
  Published under the terms of the GNU General Public License Design by Interspire