Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Rerenzhandbuch- PAM und Administrative-Credential-Caching

16.6. PAM und Administrative-Credential-Caching

Eine Reihe grafischer Verwaltungstools unter Red Hat Enterprise Linux geben Benutzern erweiterte Rechte �ber das Modul pam_timestamp.so f�r eine Zeitdauer von 5 Minuten. Es ist wichtig zu verstehen, wie dieser Mechanismus funktioniert, denn wenn ein Benutzer sich vom Terminal entfernt, w�hrend pam_timestamp.so ausgef�hrt wird, ist der Rechner offen f�r Manipulationen von jedem mit physischem Zugang zur Konsole.

Unter dem PAM Timestamp-Schema fragt die grafische Verwaltungsapplikation beim Starten den Benutzer nach dem Root-Passwort. Nach der Authentifizierung, erzeugt das pam_timestamp.so-Modul standardm��ig eine Timestamp-Datei im Verzeichnis /var/run/sudo/. Sollte diese Datei bereits existieren, werden andere grafische Verwaltungstools nicht nach dem Passwort fragen. Stattdessen aktualisiert das pam_timestamp.so-Modul die Timestamp-Datei — wodurch dem Benutzer weitere f�nf Minuten an unbehelligtem, administrativem Zugriff gew�hrt werden.

Das Bestehen der Timestamp-Datei wird durch ein Authetifizierungssymbol in der Notification-Area des Panels angezeigt. Folgend ist eine Illustration des Authetifizierungssymbols.

Abbildung 16-1. Das Authentication Icon

16.6.1. Entferne die Timestamp-Datei

Es wird empfohlen, dass bevor Sie sich von einer Konsole entfernen, an der PAM l�uft, die Timestamp-Datei gel�scht wird. Um dies innerhalb der grafischen Umgebung zu tun, klicken Sie auf das Authetifizierungssymbol im Panel. Wenn das Dialog-Fenster erscheint, klicken Sie den Button Autorisierung vergessen.

Abbildung 16-2. Authentifizierungssymbol Dialog

Wenn von einem Remote-System aus mit ssh angemeldet, benutzen Sie den Befehl /sbin/pam_timestamp_check -k root, um die Timestap-Datei zu l�schen.

AnmerkungAnmerkung
 

Nur der Benutzer, der urspr�nglich daspam_timestamp.so-Modul aufgerufen hat, kann den Befehl /sbin/pam_timestamp_check verwenden. Melden Sie sich nicht als root an, um diesen Befehl auszuf�hren.

Zu Informationen zum L�schen der Timestamp-Datei mittelspam_timestamp_check, sehen Sie die man-Seiten vonpam_timestamp_check.

16.6.2. Allgemeine pam_timestamp Anweisungen

Das pam_timestamp.so Modul akzeptiert verschiedene Anweisungen. Folgend sind die zwei am h�ufigsten verwendeten angegeben:

  • timestamp_timeout — Die Anzahl der Sekunden, w�hrend denen die Timestap-Datei g�ltig ist. Der Standardwert ist 300 Sekunden (f�nf Minuten).

  • timestampdir — Gibt das Verzeichnis an, in dem die Timestamp-Datei gespeichert ist. Der Standardwert ist /var/run/sudo.

F�r weitere Informationen zur Kontrolle des pam_timestamp.so-Moduls, sehen Sie Abschnitt 16.8.1.

 
 
  Published under the terms of the GNU General Public License Design by Interspire