16.7. Propriété de PAM et des périphériques
Red Hat Enterprise Linux donne au premier utilisateur s'étant connecté à la console de la machine la possibilité de manipuler les périphériques et d'exécuter des tâches qui sont normalement réservées au super-utilisateur. Cette situation est contrôlée par un module PAM appelé pam_console.so.
16.7.1. Propriété des périphériques
Lorsqu'un utilisateur se connecte à un système Red Hat Enterprise Linux, le module pam_console.so est appelé par login ou par les programmes de connexion graphiques gdm et kdm. Si l'utilisateur est le premier à se connecter à la console physique — que l'on appelle alors utilisateur console — le module lui attribue la propriété des périphériques qui appartiennent normalement au super-utilisateur. L'utilisateur console demeure propriétaire de ces périphériques jusqu'à la dernière session locale de cet utilisateur se termine. Une fois que l'utilisateur s'est déconnecté, la propriété de ces périphériques retourne au super-utilisateur.
Les périphériques affectés incluent notamment les cartes son ainsi que les lecteurs de disquettes et de CD-ROM.
Ainsi, un utilisateur local peut gérer ces périphériques sans être connecté en tant que super-utilisateur, ce qui simplifie les tâches courantes de l'utilisateur console.
En modifiant le fichier /etc/security/console.perms, l'administrateur peut changer la liste des périphériques contrôlés par pam_console.so.
 | Avertissement | ||
|---|---|---|---|
Si le fichier de configuration du gestionnaire d'affichage de gdm, kdm ou xdm a été modifié pour permettre aux utilisateurs distants de se connecter et si l'hôte est configuré pour être exécuté en niveau d'exécution 5, il est conseillé de remplacer les directives <console> et <xconsole> à l'intérieur de /etc/security/console.perms par les valeurs suivantes :
Ce faisant, les utilisateurs distants ne pourront pas accéder aux périphériques et aux applications à accès limité sur cette machine. Si le fichier de configuration du gestionnaire d'affichage de gdm, kdm ou xdm a été modifié pour permettre aux utilisateurs distants de se connecter et si l'hôte est configuré pour être exécuté à tout niveau d'exécution autre que 5, il est conseillé de supprimer entièrement la directive <xconsole> et de remplacer la directive <console> par la valeur suivante :
|
16.7.2. Accès aux applications
L'utilisateur console peut également accéder à un certains programmes à l'aide d'un fichier portant le nom de la commande dans le répertoire /etc/security/console.apps/.
Un groupe d'applications auquel l'utilisateur console a accès contient trois programmes qui arrêtent ou redémarrent le système, à savoir :
/sbin/halt
/sbin/reboot
/sbin/poweroff
Puisqu'il s'agit d'applications prenant en charge PAM, le fichier pam_console.so est indispensable pour qu'elles puissent fonctionner.
Pour obtenir de plus amples informations, reportez-vous à la Section 16.8.1.