15.6. PAM y el caché de credenciales administrativas

Varias herramientas gráficas administrativas bajo Red Hat Enterprise Linux otorgan a los usuarios privilegios especiales por hasta 5 minutos a través del módulo pam_timestamp.so. Es importante entender cómo funciona este mecanismo puesto que un usuario que deja su terminal mientras pam_timestamp.so está en efecto, deja la máquina abierta a la manipulación por cualquiera con acceso físico a la consola.

Bajo el esquema de timestamp de PAM, la aplicación administrativa gráfica le pide al usuario por la contraseña de root cuando es lanzada. Una vez autenticado, el módulo pam_timestamp.so crea un archivo timestamp dentro del directorio /var/run/sudo/ por defecto. Si el archivo timestamp ya existe, otros programas gráficos administrativos no le pedirán contraseña. En vez de esto, el módulo pam_timestamp.so refrescará el archivo timestamp — reservando unos cinco minutos extra de acceso administrativo para el usuario.

La existencia de un archivo timestamp se denota por un icono de autenticación en el área de notificación del panel. Abajo se muestra una ilustración del icono de autenticación:

Figura 15-1. El icono de autenticación

15.6.1. Eliminar el archivo timestamp

Se recomienda que antes de dejar desatendida una consola donde está activa un timestamp PAM, se destruya el archivo timestamp. Para lograr esto desde un ambiente gráfico, haga click en el icono de autenticación en el panel. Cuando aparezca una ventana de diálogo, haga click en el botón Olvidar autorización

Figura 15-2. Diálogo del icono de autenticación

Si está conectándose a un sistema remótamente usando ssh, utilice el comando /sbin/pam_timestamp_check -k root para destruir el archivo timestamp.

NotaNota
 

Debe estar conectado como el usuario que invocó originalmente el módulo pam_timestamp.so para poder utilizar el comando /sbin/pam_timestamp_check. No se conecte como usuario root para ejecutar este comando.

Para información sobre cómo destruir el archivo timestamp usando pam_timestamp_check, refiérase a la página man de pam_timestamp_check.

15.6.2. Directivas pam_timestamp comunes

El módulo pam_timestamp.so acepta muchas directivas. Abajo están las opciones usadas más comúnmente:

Para más información sobre el control del módulo pam_timestamp.so, refiérase a la Sección 15.8.1.