16.7. PAMおよびデバイスの所有権
Red Hat Enterprise Linux によって、マシンの物理的コンソール上にログインする最初のユーザーに対し、デバイスの操作や特殊タスクの実行など通常は rootユーザー用に保存してある能力を許可します。これはpam_console.so と呼ばれる、PAM モジュールによって制御されています。
16.7.1. デバイス所有権
Red Hat Enterprise Linux システムにユーザーがログインすると、pam_console.so モジュールが loginまたはグラフィカルログインプログラムgdmとkdmによって呼び出されます。このユーザーが物理的なコンソール—コンソールユーザーと呼ばれる — でログインする最初のユーザーの場合、モジュールは通常ルートに所有される様々なデバイスの所有権をそのユーザーに許可します。コンソールユーザーの最後のローカルセッションが終了するまで、そのユーザーはこれらデバイスの所有権を持ちます。ユーザーがログアウトすると、デバイスの所有権は rootユーザーに戻ります。
これに影響され、しかしそれだけに制限されていない状態のデバイスには サウンドカード、フロッピードライブ、CD-ROMドライブです。
これにより、ローカルユーザーはルートへの変更をせずに、これらデバイスの操作ができるようになります。 このように、コンソールユーザーのための一般的なタスクを単純化しています。
/etc/security/console.permsファイルを修正することにより、管理者は pam_console.soによって制御されるデバイスの一覧を編集できます。
 | 警告 | ||
|---|---|---|---|
gdm、kdm、 またはxdmのディスプレイマネージャ設定ファイルが リモートユーザーにログインを許可するように変更されていて、且つホストが ランレベル5で実行するよう設定されている場合、 /etc/security/console.perms内の<console> と<xconsole>ディレクティブを以下の値に変更した方がよいでしょう。
これにより、リモートユーザーがマシン上のデバイスや制限アプリケーションへアクセスするのを防止します。 gdm、kdm、 またはxdmのディスプレイマネージャ設定ファイルが リモートユーザーにログインを許可するよう変更されていて、且つ ホストがランレベル5以外でいずれの複数ユーザーランレベルでも実行するよう設定されている場合には、 <xconsole>ディレクティブを完全に削除して、 <console>ディレクティブを次の値に変更した方が良いでしょう。
|
16.7.2. アプリケーションアクセス
コンソールユーザーはさらに/etc/security/console.apps/ディレクトリ内のコマンド名の付くファイルと共に特定のプログラムにアクセスを許可されます。
コンソールユーザーがアクセスする重要なアプリケーショングループの一つは、システムを終了または再起動するプログラムです。以下に示します。
/sbin/halt
/sbin/reboot
/sbin/poweroff
これらはPAM-認識アプリケーションなので、使用要求としてpam_console.so モジュールをコールします。
詳細については、項16.8.1 を参照してください。