48.4.7. PAM とデバイスの所有者
Red Hat Enterprise Linux では、マシンの物理コンソールにログインする最初のユーザーは、特定のデバイスを操作して、通常は root ユーザー用に予約された特定のタスクを実行することができます。これは、
pam_console.so
と呼ばれる PAM モジュールによって制御されます。
48.4.7.1. デバイスの所有者
ユーザーが Red Hat Enterprise Linux システムにログインすると、
pam_console.so
モジュールはログ イン またはグラフィカルログインプログラムである gdm、kdm、および xdm によって呼び出されます。このユーザーが、コンソールユーザー と呼ばれる物理コンソールにログインする最初の ユーザー である場合、モジュールは通常 root が所有するさまざまなデバイスのユーザー所有権を付与します。コンソールユーザーは、そのユーザーの最後のローカルセッションが終了するまでこれらのデバイスを所有します。このユーザーがログアウトした後、デバイスの所有権は root ユーザーに戻ります。
影響を受けるデバイスには、サウンドカード、ディスケットドライブ、および CD-ROM ドライブが含まれますが、これらに限定されません。
この機能により、ローカルユーザーは root アクセスを取得しなくてもこれらのデバイスを操作できるため、コンソールユーザーの一般的なタスクを簡素化できます。
pam_console.so
が制御するデバイスの一覧を変更するには、以下のファイルを編集します。
/etc/security/console.perms
/etc/security/console.perms.d/50-default.perms
上記のファイルに記載されているものとは異なるデバイスのパーミッションを変更したり、指定したデフォルトをオーバーライドしたりできます。
50-default.perms
ファイルを変更するのではなく、新しいファイル( xx-name.perms
など)を作成し、必要な変更を入力する必要があります。新しいデフォルトファイルの名前は、50 を超える数字で開始する必要があります(例: 51-default.perms
)。これにより、50-default.perms
ファイルでデフォルト値が上書きされます。
Warning
リモートユーザーがランレベル 5 で実行するように gdm、kdm、または xdm ディスプレイマネージャー設定ファイルを変更 し た場合は、
/etc/security/console.perms
の < console > と {} ディレクティブを次の値に変更することを推奨します。
<console>=tty[0-9][0-9]* vc/[0-9][0-9]* :0\.[0-9] :0 <xconsole>=:0\.[0-9] :0
これにより、リモートユーザーがマシン上のデバイスおよび制限されたアプリケーションにアクセスできなくなります。
gdm、kdm、または xdm ディスプレイマネージャー設定ファイルが変更され、リモートユーザーが 5 以外の複数のユーザーランレベルで実行するように設定されていて、ディレクティブを完全に削除 {} して < console > ディレクティブを変更することが推奨されます。
<console>=tty[0-9][0-9]* vc/[0-9][0-9]*