検索
サポートコンソール開発者トライアルの開始お問い合わせ

48.4.7. PAM とデバイスの所有者

download PDF
Red Hat Enterprise Linux では、マシンの物理コンソールにログインする最初のユーザーは、特定のデバイスを操作して、通常は root ユーザー用に予約された特定のタスクを実行することができます。これは、pam_console.so と呼ばれる PAM モジュールによって制御されます。

48.4.7.1. デバイスの所有者

ユーザーが Red Hat Enterprise Linux システムにログインすると、pam_console.so モジュールはログ イン またはグラフィカルログインプログラムである gdmkdm、および xdm によって呼び出されます。このユーザーが、コンソールユーザー と呼ばれる物理コンソールにログインする最初の ユーザー である場合、モジュールは通常 root が所有するさまざまなデバイスのユーザー所有権を付与します。コンソールユーザーは、そのユーザーの最後のローカルセッションが終了するまでこれらのデバイスを所有します。このユーザーがログアウトした後、デバイスの所有権は root ユーザーに戻ります。
影響を受けるデバイスには、サウンドカード、ディスケットドライブ、および CD-ROM ドライブが含まれますが、これらに限定されません。
この機能により、ローカルユーザーは root アクセスを取得しなくてもこれらのデバイスを操作できるため、コンソールユーザーの一般的なタスクを簡素化できます。
pam_console.so が制御するデバイスの一覧を変更するには、以下のファイルを編集します。
  • /etc/security/console.perms
  • /etc/security/console.perms.d/50-default.perms
上記のファイルに記載されているものとは異なるデバイスのパーミッションを変更したり、指定したデフォルトをオーバーライドしたりできます。50-default.perms ファイルを変更するのではなく、新しいファイル( xx-name.permsなど)を作成し、必要な変更を入力する必要があります。新しいデフォルトファイルの名前は、50 を超える数字で開始する必要があります(例: 51-default.perms)。これにより、50-default.perms ファイルでデフォルト値が上書きされます。
Warning
リモートユーザーがランレベル 5 で実行するように gdmkdm、または xdm ディスプレイマネージャー設定ファイルを変更 た場合は、/etc/security/console.perms の < console > と {} ディレクティブを次の値に変更することを推奨します。 
<console>=tty[0-9][0-9]* vc/[0-9][0-9]* :0\.[0-9] :0
<xconsole>=:0\.[0-9] :0
これにより、リモートユーザーがマシン上のデバイスおよび制限されたアプリケーションにアクセスできなくなります。
gdmkdm、または xdm ディスプレイマネージャー設定ファイルが変更され、リモートユーザーが 5 以外の複数のユーザーランレベルで実行するように設定されていて、ディレクティブを完全に削除 {} して < console > ディレクティブを変更することが推奨されます。 
<console>=tty[0-9][0-9]* vc/[0-9][0-9]*
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.