Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions

  




 

 

Linuxtopia - Red Hat Enterprise Linux Reference Guide (Italiano) - Conservazione delle credenziali di gestione e di PAM

16.6. Conservazione delle credenziali di gestione e di PAM

Una variet� di tool di gestione presenti con Red Hat Enterprise Linux permette all'utente di avere elevati privilegi fino a cinque minuti tramite il modulo pam_timestamp.so. � importante capire come questo meccanismo funzioni, in quanto se un utente si allontana dal terminale mentre pam_timestamp.so � in funzione, lascia la macchina vulnerabile a manipolazioni apportate da un altro utente che ha un accesso fisico alla console.

Con lo schema di timestamp di PAM, l'applicazione di gestione grafica richiede all'utente una password root quando lanciata. Una volta autenticato, il modulo pam_timestamp.so crea, per default, un file timestamp all'interno della directory /var/run/sudo/. Se il file timestamp � gi� esistente, gli altri programmi di gestione non richiederanno una password. Invece, il modulo pam_timestamp.so aggiorner� il file timestamp — riservando cinque minuti aggiuntivi di accesso amministrativo per l'utente.

L'esistenza del file di timestamp viene delineata da una icona di autenticazione nell'area di notifica del pannello. Di seguito viene illustrata una icona di autenticazione:

Figura 16-1. L'icona di autenticazione

16.6.1. Rimozione del file di timestamp

Si consiglia prima di allontanarsi da una console dove � attivo un timestamp di PAM, di eliminare il file di timestamp. Per fare ci� all'interno di un ambiente grafico, fate clic sull'icona di autenticazione sul pannello. Quando appare una finestra di dialogo, fate clic sul pulsante Dimentica l'autorizzazione.

Figura 16-2. Dialogo dell'icona di autenticazione

Se avete effettuato un log in remoto in un sistema usando ssh, usare il comando /sbin/pam_timestamp_check -k root per eliminare il file timestamp.

NotaNota Bene
 

Dovete effettuare il log in come l'utente che originariamente ha invocato il modulo pam_timestamp.so, in modo da poter usare il comando /sbin/pam_timestamp_check. Non effettuate il log in come utente root per emettere questo comando.

Per informazioni su come eliminare il file timestamp usando pam_timestamp_check, consultate la pagina man di pam_timestamp_check.

16.6.2. Direttive pam_timestamp comuni

Il modulo pam_timestamp.so accetta diverse direttive. Di seguito sono riportate le due opzioni pi� comunemente usate:

  • timestamp_timeout — Specifica il numero di secondi entro i quali il file timestamp � valido (in secondi). Il valore di default � di 300 secondi (cinque minuti).

  • timestampdir — Specifica la directory entro la quale il file timestamp � conservato. Il valore di default � /var/run/sudo/.

Per maggiori informazioni sul controllo del modulo pam_timestamp.so, consultate la Sezione 16.8.1.

 
 
  Published under the terms of the GNU General Public License Design by Interspire