16.6. PAM y el caché de credenciales administrativas

Varias herramientas gráficas administrativas bajo Red Hat Enterprise Linux otorgan a los usuarios privilegios especiales por hasta 5 minutos a través del módulo pam_timestamp.so. Es importante entender cómo funciona este mecanismo puesto que un usuario que deja su terminal mientras pam_timestamp.so está en efecto, deja la máquina abierta a la manipulación por cualquiera con acceso físico a la consola.

Bajo el esquema de estampillas de PAM, cuando se ejecuta la aplicación administrativa gráfica esta le pide al usuario por la contraseña de root. Una vez autenticado, el módulo pam_timestamp.so crea un archivo de estampilla de tiempo (timestamp) dentro del directorio /var/run/sudo/ por defecto. Si el archivo timestamp ya existe, otros programas gráficos administrativos no le pedirán contraseña. En vez de esto, el módulo pam_timestamp.so refrescará el archivo timestamp — reservando unos cinco minutos extra de acceso administrativo para el usuario.

La existencia de un archivo timestamp se denota por un icono de autenticación en el área de notificación del panel. Abajo se muestra una ilustración del icono de autenticación:

Figura 16-1. El icono de autenticación

16.6.1. Eliminar el archivo timestamp

Es recomendable que antes de dejar desatendida una consola donde está activo un timestamp PAM, se destruya el archivo timestamp. Para hacerlo desde un ambiente gráfico, pulse en el icono de autenticación en el panel. Cuando aparezca una ventana de diálogo, pulse en el botón Olvidar autorización

Figura 16-2. Diálogo del icono de autenticación

Si está conectándose a un sistema remótamente usando ssh, utilice el comando /sbin/pam_timestamp_check -k root para destruir el archivo timestamp.

NotaNota
 

Debe estar conectado como el usuario que invocó originalmente el módulo pam_timestamp.so para poder utilizar el comando /sbin/pam_timestamp_check. No se conecte como usuario root para ejecutar este comando.

Para información sobre cómo destruir el archivo timestamp usando pam_timestamp_check, refiérase a la página man de pam_timestamp_check.

16.6.2. Directivas pam_timestamp comunes

El módulo pam_timestamp.so acepta muchas directivas. Abajo están las opciones usadas más comúnmente:

Para más información sobre el control del módulo pam_timestamp.so, refiérase a la Sección 16.8.1.