16.7. PAM y propiedad del dispositivo
Red Hat Enterprise Linux permite al primer usuario que se conecte en una consola f�sica de la m�quina la habilidad de manipular algunos dispositivos y realizar algunas tareas normalmente reservadas para el usuario root. Esto es controlado por un m�dulo PAM llamado pam_console.so.
16.7.1. Propiedad del dispositivo
Cuando un usuario se registra en una m�quina bajo Red Hat Enterprise Linux, el m�dulo pam_console.so es llamado por login o los programas de inicio de sesi�n gr�fica, gdm y kdm. Si este usuario es el primero en conectarse en la consola f�sica — llamado usuario de consola — el m�dulo concede la propiedad de una variedad de dispositivos que normalmente posee root. El usuario de la consola posee estos dispositivos hasta que la �ltima sesi�n local para ese usuario finaliza. Una vez que el usuario se ha desconectado, la propiedad de los dispositivos vuelve a root.
Los dispositivos afectados incluyen, pero no son limitados, las tarjetas de sonido, las unidades de disco y las unidades de CD-ROM.
Esto permite que el usuario local manipule estos dispositivos sin llegar a tener acceso root, de manera que se simplifican las tareas comunes para el usuario de la consola.
Modificando el archivo /etc/security/console.perms, el administrador puede editar la lista de dispositivos controlados por pam_console.so.
| Atenci�n |
---|
| Si el archivo de configuraci�n del gestor de ventanas gdm, kdm, o xdm ha sido alterado para permitir a los usuarios remotos conectarse y la m�quina est� configurada para ejecutarse en el nivel de ejecucion 5, se recomienda cambiar las directivas <console> y <xconsole> dentro de /etc/security/console.perms a los valores siguientes: <console>=tty[0-9][0-9]* vc/[0-9][0-9]* :0\.[0-9] :0
<xconsole>=:0\.[0-9] :0 |
Al hacer esto se previene que los usuarios remotos ganen acceso a los dispositivos y a las aplicaciones restringidas en la m�quina. Si el archivo de configuraci�n del gestor de ventanas gdm, kdm, o xdm ha sido alterado para permitir que los usuarios remotos se conecten y la m�quina est� configurada para ejecutarse en cualquier nivel de ejecuci�n de m�ltiples usuarios excepto 5, se recomienda eliminar la directiva <xconsole> completamente y cambiar la directiva <console> al valor siguiente: <console>=tty[0-9][0-9]* vc/[0-9][0-9]* |
|
16.7.2. Acceso de la aplicaci�n
Tambi�n se le permite al usuario de la consola (console user) el acceso a ciertos programas con un archivo que contenga el nombre del comando en el directorio /etc/security/console.apps/.
Un grupo notable de aplicaciones a las que tiene acceso el usuario de la consola son tres programas que cierran o abren el sistema. Estos son:
/sbin/halt
/sbin/reboot
/sbin/poweroff
Debido a que estas son aplicaciones tipo PAM, ellas llaman al m�dulo pam_console.so como un requerimiento para el uso.
Para m�s informaci�n, refi�rase a la Secci�n 16.8.1.