Red Hat Enterprise Linux permite al primer usuario que se conecte en una consola f�sica de la m�quina la habilidad de manipular algunos dispositivos y realizar algunas tareas normalmente reservadas para el usuario root. Esto es controlado por un m�dulo PAM llamado pam_console.so.

16.7.1. Propiedad del dispositivo

Cuando un usuario se registra en una m�quina bajo Red Hat Enterprise Linux, el m�dulo pam_console.so es llamado por login o los programas de inicio de sesi�n gr�fica, gdm y kdm. Si este usuario es el primero en conectarse en la consola f�sica — llamado usuario de consola — el m�dulo concede la propiedad de una variedad de dispositivos que normalmente posee root. El usuario de la consola posee estos dispositivos hasta que la �ltima sesi�n local para ese usuario finaliza. Una vez que el usuario se ha desconectado, la propiedad de los dispositivos vuelve a root.

Los dispositivos afectados incluyen, pero no son limitados, las tarjetas de sonido, las unidades de disco y las unidades de CD-ROM.

Esto permite que el usuario local manipule estos dispositivos sin llegar a tener acceso root, de manera que se simplifican las tareas comunes para el usuario de la consola.

Modificando el archivo /etc/security/console.perms, el administrador puede editar la lista de dispositivos controlados por pam_console.so.

Aviso Atenci�n

Si el archivo de configuraci�n del gestor de ventanas gdm, kdm, o xdm ha sido alterado para permitir a los usuarios remotos conectarse y la m�quina est� configurada para ejecutarse en el nivel de ejecucion 5, se recomienda cambiar las directivas <console> y <xconsole> dentro de /etc/security/console.perms a los valores siguientes:

<console>=tty[0-9][0-9]* vc/[0-9][0-9]* :0\.[0-9] :0
<xconsole>=:0\.[0-9] :0

Al hacer esto se previene que los usuarios remotos ganen acceso a los dispositivos y a las aplicaciones restringidas en la m�quina.

Si el archivo de configuraci�n del gestor de ventanas gdm, kdm, o xdm ha sido alterado para permitir que los usuarios remotos se conecten y la m�quina est� configurada para ejecutarse en cualquier nivel de ejecuci�n de m�ltiples usuarios excepto 5, se recomienda eliminar la directiva <xconsole> completamente y cambiar la directiva <console> al valor siguiente:

<console>=tty[0-9][0-9]* vc/[0-9][0-9]*

16.7.2. Acceso de la aplicaci�n

Tambi�n se le permite al usuario de la consola (console user) el acceso a ciertos programas con un archivo que contenga el nombre del comando en el directorio /etc/security/console.apps/.

Un grupo notable de aplicaciones a las que tiene acceso el usuario de la consola son tres programas que cierran o abren el sistema. Estos son:

/sbin/halt
/sbin/reboot
/sbin/poweroff

Debido a que estas son aplicaciones tipo PAM, ellas llaman al m�dulo pam_console.so como un requerimiento para el uso.

Para m�s informaci�n, refi�rase a la Secci�n 16.8.1.

Anterior	Inicio	Siguiente
PAM y el cach� de credenciales administrativas	Subir	Recursos adicionales

Published under the terms of the GNU General Public License Design by Interspire