16.7. PAM y propiedad del dispositivo

Red Hat Enterprise Linux permite al primer usuario que se conecte en una consola física de la máquina la habilidad de manipular algunos dispositivos y realizar algunas tareas normalmente reservadas para el usuario root. Esto es controlado por un módulo PAM llamado pam_console.so.

16.7.1. Propiedad del dispositivo

Cuando un usuario se registra en una máquina bajo Red Hat Enterprise Linux, el módulo pam_console.so es llamado por login o los programas de inicio de sesión gráfica, gdm y kdm. Si este usuario es el primero en conectarse en la consola física — llamado usuario de consola — el módulo concede la propiedad de una variedad de dispositivos que normalmente posee root. El usuario de la consola posee estos dispositivos hasta que la última sesión local para ese usuario finaliza. Una vez que el usuario se ha desconectado, la propiedad de los dispositivos vuelve a root.

Los dispositivos afectados incluyen, pero no son limitados, las tarjetas de sonido, las unidades de disco y las unidades de CD-ROM.

Esto permite que el usuario local manipule estos dispositivos sin llegar a tener acceso root, de manera que se simplifican las tareas comunes para el usuario de la consola.

Modificando el archivo /etc/security/console.perms, el administrador puede editar la lista de dispositivos controlados por pam_console.so.

AvisoAtención
 

Si el archivo de configuración del gestor de ventanas gdm, kdm, o xdm ha sido alterado para permitir a los usuarios remotos conectarse y la máquina está configurada para ejecutarse en el nivel de ejecucion 5, se recomienda cambiar las directivas <console> y <xconsole> dentro de /etc/security/console.perms a los valores siguientes:

<console>=tty[0-9][0-9]* vc/[0-9][0-9]* :0\.[0-9] :0
<xconsole>=:0\.[0-9] :0

Al hacer esto se previene que los usuarios remotos ganen acceso a los dispositivos y a las aplicaciones restringidas en la máquina.

Si el archivo de configuración del gestor de ventanas gdm, kdm, o xdm ha sido alterado para permitir que los usuarios remotos se conecten y la máquina está configurada para ejecutarse en cualquier nivel de ejecución de múltiples usuarios excepto 5, se recomienda eliminar la directiva <xconsole> completamente y cambiar la directiva <console> al valor siguiente:

<console>=tty[0-9][0-9]* vc/[0-9][0-9]*

16.7.2. Acceso de la aplicación

También se le permite al usuario de la consola (console user) el acceso a ciertos programas con un archivo que contenga el nombre del comando en el directorio /etc/security/console.apps/.

Un grupo notable de aplicaciones a las que tiene acceso el usuario de la consola son tres programas que cierran o abren el sistema. Estos son:

Debido a que estas son aplicaciones tipo PAM, ellas llaman al módulo pam_console.so como un requerimiento para el uso.

Para más información, refiérase a la Sección 16.8.1.