Red Hat Enterprise Linux の各種グラフィック管理ツールでは、pam_timestamp.soモジュールを使用して特権を5分間まで延長することができるようになります。 pam_timestamp.soが有効になっている間にユーザーがターミナルから離れると、 誰でもコンソールに物理的にアクセスして操作が行なえるような状態になるため、 この機能の仕組みを理解しておくことが重要です。
PAM タイムスタンプ設定では、グラフィック管理アプリケーションが起動すると、 root パスワードをユーザーに要求します。認証されると、pam_timestamp.so モジュールはデフォルトで/var/run/sudo/ディレクトリ配下に タイムスタンプファイルを作成します。タイムスタンプファイルがすでに存在している場合は、 他のグラフィック管理プログラムはパスワードを要求せず、 代わりに、pam_timestamp.soモジュールはタイムスタンプファイルを 新たにします — ユーザーになにも要求せずに管理アクセス権をさらに5分間確保します。
タイムスタンプファイルの存在は、パネルの通知エリアにある認証アイコンで表示されます。 以下は認証アイコンのイラストです。
PAM タイムスタンプが有効になっているコンソールから離れる場合、 タイムスタンプファイルを破棄することをおすすめします。 グラフィック環境でこれを行なうには、パネルの認証アイコンをクリックします。 ダイアログボックスが現われたら、Forget Authorization ボタンをクリックします。
sshを使用して遠隔からシステムにログインしている場合、 /sbin/pam_timestamp_check -k rootコマンドを使用して タイムスタンプを破棄します。
![]() | 注記 |
---|---|
/sbin/pam_timestamp_checkコマンドを使用するためには、 最初にpam_timestamp.soを呼び出したユーザーでログインする必要があります。 root でログインしてこのコマンドを発行しないでください。 |
pam_timestamp_checkを使用してタイムスタンプファイルを破棄する方法 についての詳細は、pam_timestamp_checkの man ページを参照してください。
pam_timestamp.soモジュールはいくつか異なるディレクティブを受け取ります。 以下に最もよく使われるオプションを2つあげます。
timestamp_timeout — タイムスタンプファイルが有効になっている 間隔を秒数で指定します(秒単位)。デフォルト値は300秒(5分間)です。
timestampdir — タイムスタンプファイルが保存されるディレクトリ を指定します。デフォルト値は/var/run/sudoです。
pam_timestamp.soモジュールの操作方法についての詳細は、 項15.8.1を参照してください。