Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux 4: Manual de referencia - PAM y el cach� de credenciales administrativas

16.6. PAM y el cach� de credenciales administrativas

Varias herramientas gr�ficas administrativas bajo Red Hat Enterprise Linux otorgan a los usuarios privilegios especiales por hasta 5 minutos a trav�s del m�dulo pam_timestamp.so. Es importante entender c�mo funciona este mecanismo puesto que un usuario que deja su terminal mientras pam_timestamp.so est� en efecto, deja la m�quina abierta a la manipulaci�n por cualquiera con acceso f�sico a la consola.

Bajo el esquema de estampillas de PAM, cuando se ejecuta la aplicaci�n administrativa gr�fica esta le pide al usuario por la contrase�a de root. Una vez autenticado, el m�dulo pam_timestamp.so crea un archivo de estampilla de tiempo (timestamp) dentro del directorio /var/run/sudo/ por defecto. Si el archivo timestamp ya existe, otros programas gr�ficos administrativos no le pedir�n contrase�a. En vez de esto, el m�dulo pam_timestamp.so refrescar� el archivo timestamp — reservando unos cinco minutos extra de acceso administrativo para el usuario.

La existencia de un archivo timestamp se denota por un icono de autenticaci�n en el �rea de notificaci�n del panel. Abajo se muestra una ilustraci�n del icono de autenticaci�n:

Figura 16-1. El icono de autenticaci�n

16.6.1. Eliminar el archivo timestamp

Es recomendable que antes de dejar desatendida una consola donde est� activo un timestamp PAM, se destruya el archivo timestamp. Para hacerlo desde un ambiente gr�fico, pulse en el icono de autenticaci�n en el panel. Cuando aparezca una ventana de di�logo, pulse en el bot�n Olvidar autorizaci�n

Figura 16-2. Di�logo del icono de autenticaci�n

Si est� conect�ndose a un sistema rem�tamente usando ssh, utilice el comando /sbin/pam_timestamp_check -k root para destruir el archivo timestamp.

NotaNota
 

Debe estar conectado como el usuario que invoc� originalmente el m�dulo pam_timestamp.so para poder utilizar el comando /sbin/pam_timestamp_check. No se conecte como usuario root para ejecutar este comando.

Para informaci�n sobre c�mo destruir el archivo timestamp usando pam_timestamp_check, refi�rase a la p�gina man de pam_timestamp_check.

16.6.2. Directivas pam_timestamp comunes

El m�dulo pam_timestamp.so acepta muchas directivas. Abajo est�n las opciones usadas m�s com�nmente:

  • timestamp_timeout — Especifica el n�mero de segundos durante el que el archivo timestamp es v�lido (en segundos). El valor por defecto es 300 segundos (cinco minutos).

  • timestampdir — Especifica el directorio en el cual se almacena el archivo de estampilla de tiempo. El valor por defecto es /var/run/sudo.

Para m�s informaci�n sobre el control del m�dulo pam_timestamp.so, refi�rase a la Secci�n 16.8.1.

 
 
  Published under the terms of the GNU General Public License Design by Interspire