Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Rerenzhandbuch- PAM und Administrative-Credential-Caching

16.6. PAM und Administrative-Credential-Caching

Eine Reihe grafischer Verwaltungstools unter Red Hat Enterprise Linux geben Benutzern erweiterte Rechte �ber das Modul pam_timestamp.so f�r eine Zeitdauer von 5 Minuten. Es ist wichtig zu verstehen, wie dieser Mechanismus funktioniert, denn wenn ein Benutzer sich vom Terminal entfernt, w�hrend pam_timestamp.so ausgef�hrt wird, ist der Rechner offen f�r Manipulationen von jedem mit physischem Zugang zur Konsole.

Unter dem PAM Timestamp-Schema fragt die grafische Verwaltungsapplikation beim Starten den Benutzer nach dem Root-Passwort. Nach der Authentifizierung, erzeugt das pam_timestamp.so-Modul standardm��ig eine Timestamp-Datei im Verzeichnis /var/run/sudo/. Sollte diese Datei bereits existieren, werden andere grafische Verwaltungstools nicht nach dem Passwort fragen. Stattdessen aktualisiert das pam_timestamp.so-Modul die Timestamp-Datei — wodurch dem Benutzer weitere f�nf Minuten an unbehelligtem, administrativem Zugriff gew�hrt werden.

Das Bestehen der Timestamp-Datei wird durch ein Authetifizierungssymbol in der Notification-Area des Panels angezeigt. Folgend ist eine Illustration des Authetifizierungssymbols.

Abbildung 16-1. Das Authentication Icon

16.6.1. Entferne die Timestamp-Datei

Es wird empfohlen, dass bevor Sie sich von einer Konsole entfernen, an der PAM l�uft, die Timestamp-Datei gel�scht wird. Um dies innerhalb der grafischen Umgebung zu tun, klicken Sie auf das Authetifizierungssymbol im Panel. Wenn das Dialog-Fenster erscheint, klicken Sie den Button Autorisierung vergessen.

Abbildung 16-2. Authentifizierungssymbol Dialog

Wenn von einem Remote-System aus mit ssh angemeldet, benutzen Sie den Befehl /sbin/pam_timestamp_check -k root, um die Timestap-Datei zu l�schen.

AnmerkungAnmerkung
 

Nur der Benutzer, der urspr�nglich daspam_timestamp.so-Modul aufgerufen hat, kann den Befehl /sbin/pam_timestamp_check verwenden. Melden Sie sich nicht als root an, um diesen Befehl auszuf�hren.

Zu Informationen zum L�schen der Timestamp-Datei mittelspam_timestamp_check, sehen Sie die man-Seiten vonpam_timestamp_check.

16.6.2. Allgemeine pam_timestamp Anweisungen

Das pam_timestamp.so Modul akzeptiert verschiedene Anweisungen. Folgend sind die zwei am h�ufigsten verwendeten angegeben:

  • timestamp_timeout — Die Anzahl der Sekunden, w�hrend denen die Timestap-Datei g�ltig ist. Der Standardwert ist 300 Sekunden (f�nf Minuten).

  • timestampdir — Gibt das Verzeichnis an, in dem die Timestamp-Datei gespeichert ist. Der Standardwert ist /var/run/sudo.

F�r weitere Informationen zur Kontrolle des pam_timestamp.so-Moduls, sehen Sie Abschnitt 16.8.1.

 
 
  Published under the terms of the GNU General Public License Design by Interspire