/etc/securetty
pam_securetty modülü tarafından, hangi sanal uçbirimlerin (ttyS) kökünün oturum açmasına izin verildiğine karar vermek için danışılır. Geçmişte, /etc/securetty
doğrudan giriş gibi programlar tarafından istişare edildi, ancak şimdi PAM bunu ele alıyor. Bu nedenle yapılan değişiklikler /etc/securetty
, pam_securetty.so kullanan bir yapılandırma dosyasıyla PAM kullanan her şeyi etkileyecektir. Bu nedenle, varsayılan olarak yalnızca oturum açma programı etkilenir. /etc/pam.d/login
yerel girişler /etc/pam.d/remote
için kullanılır ve uzak girişler için kullanılır (telnet gibi).
Birincil giriş türleri ve etkileri aşağıdaki gibidir:
- Eğer
/etc/securetty
yoksa, kök herhangi bir uçbirim ait giriş izin verilir
- Varsa
/etc/securetty
ve boşsa, kök erişimi tek kullanıcı modu veya pam_securetty tarafından kısıtlanmayan programlarla (örn. Su, sudo, ssh, scp, sftp) sınırlandırılacaktır.
- devfs (/ dev işleme için kullanımdan kaldırılmış bir dosya sistemi) kullanıyorsanız, vc / [0-9] * formuna giriş eklemek, verilen sanal konsol numarasından kök oturum açmaya izin verir
- udev kullanıyorsanız (dinamik cihaz yönetimi ve devfs için değiştirme için), tty [0-9] * biçimindeki girişlerin eklenmesi, verilen sanal konsol numarasından kök oturum açmaya izin verir
- / dev / console geçerli konsolu işaret ettiğinden ve normalde yalnızca tek kullanıcı modunda tty dosya adı olarak kullanıldığından normalde hiçbir şey listelemediğinden,
/etc/securetty
- pts / [0-9] * gibi girişler eklemek, sözde terminaller (pty) ve pam_securetty kullanan programların ayrılan pty'nin listelenenlerden biri olduğunu varsayarak kökte oturum açmasına izin verir; normalde bu girişleri dahil etmemek iyi bir fikirdir çünkü bu bir güvenlik riskidir; örneğin, birisinin telenet aracılığıyla root olarak oturum açmasına izin verir, bu da düz metin olarak şifreler gönderir (pts / [0-9] *, RHEL 5.5'te kullanılan udev formatıdır; devfs kullanılırsa farklı olacaktır. veya başka bir tür cihaz yönetimi)
Tek kullanıcılı mod için, /etc/securetty
oturum açma yerine sulogin kullanıldığından başvurulmaz. Daha fazla bilgi için sulogin man sayfasına bakınız. Ayrıca /etc/inittab
her çalışma seviyesi için kullanılan giriş programını değiştirebilirsiniz .
/etc/securetty
Kök oturumlarını ssh aracılığıyla denetlemek için kullanmamanız gerektiğini unutmayın . Bunu yapmak için PermitRootLogin değerini değiştirin /etc/ssh/sshd_config
. Varsayılan /etc/pam.d/sshd
olarak pam_securetty'ye (ve dolayısıyla /etc/securetty
) danışacak şekilde yapılandırılmamıştır . Bunu yapmak için bir satır ekleyebilirsiniz, ancak ssh, kimlik doğrulama aşamasından sonraya kadar gerçek tty'yi ayarlamaz, bu nedenle beklendiği gibi çalışmaz. Kimlik doğrulama ve hesap aşamaları sırasında - en azından openssh için - tty (PAM_TTY) "ssh" olarak kodlanır.
Yukarıdaki cevap RHEL 5.5'e dayanmaktadır. Bunların çoğu diğer * nix sistemlerinin mevcut dağılımları ile ilgilidir, ancak bazıları not ettim, ama hepsi değil.
Bunu kendim cevapladım çünkü diğer cevaplar eksik ve / veya yanlıştı. Diğer pek çok forum, blog, vb çevrimiçi bu konuda da yanlış ve eksik bilgi var, bu yüzden doğru ayrıntıları elde etmek için kapsamlı araştırma ve test yaptım. Söylediğim bir şey yanlışsa, lütfen bana bildirin.
Kaynaklar: