16.6. PAM et mise en cache de certificats administratifs
Sous Red Hat Enterprise Linux, une panoplie d'outils administratifs graphiques offre aux utilisateurs des privilèges supérieurs pour une durée allant jusqu'à cinq minutes via le module pam_timestamp.so. Il est important de comprendre comment ce mécanisme fonctionne. En effet, si un utilisateur quitte un terminal pendant que pam_timestamp.so est actif, quiconque ayant un accès physique à la machine peut effectuer des manipulations de toute sorte.
Sous le système d'estampille de PAM, l'application administrative graphique demande à l'utilisateur de saisir le mot de passe root au démarrage. Une fois authentifié, le module pam_timestamp.so crée un fichier d'estampille dans le répertoire /var/run/sudo/, par défaut. Si le fichier d'estampille existe déjà, d'autres programmes administratifs graphiques ne demanderont pas la saisie d'un mot de passe. Au contraire, le module pam_timestamp.so rafraîchira le fichier d'estampille — réservant cinq minutes supplémentaires d'accès administratif inconditionnel à l'utilisateur.
L'existence du fichier d'estampille est dénotée par l'icône d'authentification dans la zone de notifications sur le panneau. Ci-dessous figure une illustration de l'icône d'authentification :
16.6.1. Suppression du fichier d'estampille
Avant de s'absenter d'une console sur laquelle une estampille PAM est activée, il est recommandé de supprimer le fichier d'estampille. Pour effectuer cette opération dans un environnement graphique, cliquez sur l'icône d'authentification sur le panneau. Lorsque la boîte de dialogue apparaît, cliquez sur le bouton Abandonner l'autorisation.
Si vous vous êtes connecté à distance à un système à l'aide de ssh, utilisez la commande /sbin/pam_timestamp_check -k root pour supprimer le fichier d'estampille.
 | Remarque |
|---|---|
Vous devez être connecté en tant que l'utilisateur qui, à l'origine, a appelé le module pam_timestamp.so afin d'utiliser la commande /sbin/pam_timestamp_check. Ne vous connectez pas en tant que super-utilisateur pour exécuter cette commande. |
Pour obtenir davantage d'informations sur la suppression du fichier d'estampille à l'aide de pam_timestamp_check, consultez la page de manuel de pam_timestamp_check.
16.6.2. Directives pam_timestamp courantes
Le module pam_timestamp.so accepte plusieurs directives. Ci-dessous figurent les deux options les plus couramment utilisées :
timestamp_timeout — Spécifie le nombre de secondes pendant lequel le fichier d'estampille est valide. La valeur par défaut est de 300 secondes (soit cinq minutes).
timestampdir — Spécifie le répertoire dans lequel le fichier d'estampille est stocké. La valeur par défaut est /var/run/sudo.
Pour obtenir davantage d'informations sur le contrôle du module pam_timestamp.so, reportez-vous à la Section 16.8.1.