/ Etc / securityetty içindeki girişlerin etkisi


19

Varsayılan olarak RHEL 5.5'te

[deuberger@saleen trunk]$ sudo cat /etc/securetty 
console
vc/1
vc/2
vc/3
vc/4
vc/5
vc/6
vc/7
vc/8
vc/9
vc/10
vc/11
tty1
tty2
tty3
tty4
tty5
tty6
tty7
tty8
tty9
tty10
tty11

Her giriş türünün (konsol, vc / ve tty ) arasındaki fark nedir ? Özellikle, her bir giriş türünü eklemenin ve kaldırmanın sonucu nedir?

Anladığım kadarıyla, nasıl ve ne zaman giriş yapabileceğinizi etkiliyorlar, ancak başka etkileri var mı? Hangi girişlere bağlı olarak ne zaman ve ne zaman giriş yapamazsınız?

DÜZENLEME 1 Bildiğim şey, tty 1-6, CTRL-ALT-F1 kullanarak CTRL-ALT-F6 aracılığıyla eriştiğiniz ilk 6 konsoldan giriş yapıp yapamayacağınızdır. Bunların her zaman sanal konsollar olduğunu düşündüm, bu yüzden biraz kafam karıştı. Konsol da neye karşılık geliyor? Teşekkürler.

DÜZENLEME 2 Tek kullanıcı modunda varsa etkisi nedir?

Yanıtlar:


34

/etc/securettypam_securetty modülü tarafından, hangi sanal uçbirimlerin (ttyS) kökünün oturum açmasına izin verildiğine karar vermek için danışılır. Geçmişte, /etc/securettydoğrudan giriş gibi programlar tarafından istişare edildi, ancak şimdi PAM bunu ele alıyor. Bu nedenle yapılan değişiklikler /etc/securetty, pam_securetty.so kullanan bir yapılandırma dosyasıyla PAM kullanan her şeyi etkileyecektir. Bu nedenle, varsayılan olarak yalnızca oturum açma programı etkilenir. /etc/pam.d/loginyerel girişler /etc/pam.d/remoteiçin kullanılır ve uzak girişler için kullanılır (telnet gibi).

Birincil giriş türleri ve etkileri aşağıdaki gibidir:

  • Eğer /etc/securettyyoksa, kök herhangi bir uçbirim ait giriş izin verilir
  • Varsa /etc/securettyve boşsa, kök erişimi tek kullanıcı modu veya pam_securetty tarafından kısıtlanmayan programlarla (örn. Su, sudo, ssh, scp, sftp) sınırlandırılacaktır.
  • devfs (/ dev işleme için kullanımdan kaldırılmış bir dosya sistemi) kullanıyorsanız, vc / [0-9] * formuna giriş eklemek, verilen sanal konsol numarasından kök oturum açmaya izin verir
  • udev kullanıyorsanız (dinamik cihaz yönetimi ve devfs için değiştirme için), tty [0-9] * biçimindeki girişlerin eklenmesi, verilen sanal konsol numarasından kök oturum açmaya izin verir
  • / dev / console geçerli konsolu işaret ettiğinden ve normalde yalnızca tek kullanıcı modunda tty dosya adı olarak kullanıldığından normalde hiçbir şey listelemediğinden, /etc/securetty
  • pts / [0-9] * gibi girişler eklemek, sözde terminaller (pty) ve pam_securetty kullanan programların ayrılan pty'nin listelenenlerden biri olduğunu varsayarak kökte oturum açmasına izin verir; normalde bu girişleri dahil etmemek iyi bir fikirdir çünkü bu bir güvenlik riskidir; örneğin, birisinin telenet aracılığıyla root olarak oturum açmasına izin verir, bu da düz metin olarak şifreler gönderir (pts / [0-9] *, RHEL 5.5'te kullanılan udev formatıdır; devfs kullanılırsa farklı olacaktır. veya başka bir tür cihaz yönetimi)

Tek kullanıcılı mod için, /etc/securettyoturum açma yerine sulogin kullanıldığından başvurulmaz. Daha fazla bilgi için sulogin man sayfasına bakınız. Ayrıca /etc/inittabher çalışma seviyesi için kullanılan giriş programını değiştirebilirsiniz .

/etc/securettyKök oturumlarını ssh aracılığıyla denetlemek için kullanmamanız gerektiğini unutmayın . Bunu yapmak için PermitRootLogin değerini değiştirin /etc/ssh/sshd_config. Varsayılan /etc/pam.d/sshdolarak pam_securetty'ye (ve dolayısıyla /etc/securetty) danışacak şekilde yapılandırılmamıştır . Bunu yapmak için bir satır ekleyebilirsiniz, ancak ssh, kimlik doğrulama aşamasından sonraya kadar gerçek tty'yi ayarlamaz, bu nedenle beklendiği gibi çalışmaz. Kimlik doğrulama ve hesap aşamaları sırasında - en azından openssh için - tty (PAM_TTY) "ssh" olarak kodlanır.

Yukarıdaki cevap RHEL 5.5'e dayanmaktadır. Bunların çoğu diğer * nix sistemlerinin mevcut dağılımları ile ilgilidir, ancak bazıları not ettim, ama hepsi değil.

Bunu kendim cevapladım çünkü diğer cevaplar eksik ve / veya yanlıştı. Diğer pek çok forum, blog, vb çevrimiçi bu konuda da yanlış ve eksik bilgi var, bu yüzden doğru ayrıntıları elde etmek için kapsamlı araştırma ve test yaptım. Söylediğim bir şey yanlışsa, lütfen bana bildirin.

Kaynaklar:


Bu derinlikte yanıt vermek için zaman ayırdığınız için +1. Burada neden kabul edilmiş bir cevap olmadığından emin değilim. OP'nin sorusuna cevap vermişsiniz gibi görünüyor. @Alexios yorumunu beğendim, "vc / X ve ttyX eş anlamlı [ous] ..."
harperville

Debian kısa süre önce kaldırıldı / etc / secure. Eski olduğu düşünülüyor ve tartışmasız değerinden daha fazla sorun. Telnet ve rlogin için kullanıldı, ancak bazı konteyner girişlerinin işe yaraması için, orijinal amacını yenen bazı sistemlere "pts / 0" gibi psödoterminaller eklendi. Kök oturum açmayı belirli bir aygıt kümesiyle kısıtlamanız gerekiyorsa, daha güvenilir mekanizmalar vardır. Bkz bugs.debian.org/731656
dlitz

4

vc/Xve ttyXeşanlamlıdır: aynı cihazlara giden farklı yollar. Gereksizliğin amacı, sizi kilitlememek için çeşitli durumları yakalamaktır.

Geleneksel olarak login(ve muhtemelen getty, hatırlayamıyorum) liste dışı terminallerdeki girişleri kontrol eder /etc/securettyve reddeder root. Modern sistemlerde, bunu yapmanın başka yolları ve diğer güvenlik önlemleri de vardır. İçeriğine /etc/login.defs(bu ayrıca securettyişlevselliğini de kapsar ve securetty(5)manpage tarafından önerilir ) ve ayrıca /etc/pam.d/loginbu özelliğin davranışını kontrol edebileceğiniz içeriğe bakın .

Yana securettysadece tarafından kontrol edilir login, Tomrukçuluk araçlarının kullanmayın login(örn SSH use_login=noetkilenmez, X ekran yöneticileri, vs).


busyboxTabanlı sistemlerin login, /etc/login.defsdesteği olmadığı basit gerçeği için hala yararlı olabileceğini belirtmek gerekir .
phk
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.